Microsoft, USB yaddaş cihazları vasitəsilə yayıla və kriptovalyuta cüzdan məlumatlarını oğurlaya, sonra isə hücumçular tərəfindən idarə olunan serverlərə göndərə bilən "Crypto Clipper" adlı yeni öz-özünə yayılan zərərli proqram təqdim etdi.

Şirkətin məlumatına görə, zərərli proqram yoluxmuş cihazlardakı panoya kriptovalyuta cüzdan ünvanları və ya adətən 12 və ya 24 sözdən ibarət bərpa toxum ifadələri üçün nəzarət edir. Belə məlumatlar aşkar edildikdə, zərərli proqram on saniyə ərzində beş ekran görüntüsü çəkir və onları oğurlanmış məlumatlarla birlikdə yüksək səviyyədə onlayn anonimlik təmin edən Tor şəbəkəsi vasitəsilə hücumçulara göndərir.

Yüngül, lakin təhlükəli arxa qapı
Microsoft izah etdi ki, zərərli proqram ənənəvi quraşdırma metodlarına və ya birbaşa internet ünvanlarına əsaslanan əmr və idarəetmə infrastrukturuna etibar etmir. Bunun əvəzinə, o, Tor brauzerinin portativ versiyasından istifadə edir və rabitəni yerli SOCKS5 proxy serveri vasitəsilə ötürür və bu da izləməyi daha çətinləşdirir.

Şirkət bildirib ki, bu yanaşma maliyyə oğurluğu alətini "yüngül arxa qapı"ya bənzədən bir şeyə çevirir və hücumçulara məlumatları oğurlamaqla yanaşı, yoluxmuş cihazlarda əmrləri uzaqdan yerinə yetirməyə imkan verir.

USB cihazları vasitəsilə yayılma
Microsoft zərərli proqramın USB sürücülərindəki ".LNK" uzantısı olan qısa yol faylları vasitəsilə yayıldığını müşahidə etdi. Sürücü yeni bir cihaza qoşulduqda, zərərli proqram əvvəlcə onun sistemdə artıq mövcud olub olmadığını yoxlayır. Əgər yoxdursa, komponentlərini Tor şəbəkəsi vasitəsilə yükləyir.
Mövcudluğunu daha yaxşı gizlətmək üçün, yoluxmuş USB sürücüsündə artıq saxlanılan qanuni fayllara bənzər adlarla qısa yol faylları yaradır və bu da istifadəçilərin aşkarlamasını çətinləşdirir.

Cüzdan ünvanlarının dəyişdirilməsi
"Crypto Clipper" yalnız cüzdan məlumatlarını oğurlamır; həm də kopyalanan kriptovalyuta cüzdan ünvanlarını hücumçulara məxsus ünvanlarla əvəz edir. Bu, zərərçəkənin fərqinə varmadan vəsaitlərin hakerlərin cüzdanlarına yönləndirilməsinə imkan verir.
Microsoft, çəkilən ekran görüntülərinin hücumçulara oğurlanmış məlumatları daha yaxşı başa düşməyə və ya istismar etməyə kömək edən əlavə kontekst təmin etmək üçün istifadə edilə biləcəyini təklif edir.

Yoluxma göstəriciləri
Şirkət qeyd etdi ki, Microsoft Defender zərərli proqramı "Trojan:Win32/CryptoBandits.A." adı altında aşkarlayır. Yoluxmanın əsas göstəricilərinə şübhəli skript icrası, Tor şəbəkəsi ilə əlaqəli 9050 lokal portunun istifadəsi, ekran görüntüsü çəkmə əmrlərinin icrası, panoya nəzarət və kriptovalyuta ünvanlarının dəyişdirilməsi daxildir.

Microsoft xəbərdarlıq etdi ki, bu zərərli proqram sinfi kiçik, skript əsaslı alətlərin anonimlik və uzaqdan idarəetmə texnologiyaları ilə birləşdirildikdə nə qədər ciddi ziyana səbəb ola biləcəyini nümayiş etdirir.


Reportyor.az 



KARUSEL / İQTİSADİYYAT