Pelaku ancaman yang menargetkan dompet mata uang kripto telah mendistribusikan malware pencuri clipboard dengan kemampuan menyebar sendiri dan menggunakan jaringan Tor untuk menyembunyikan komunikasi.
Kampanye ini telah aktif setidaknya sejak bulan Februari dan mengandalkan file LNK (pintasan) di drive USB untuk mendorong malware clipper yang memantau konten clipboard dan mengganti alamat dompet mata uang kripto dengan alamat yang dikendalikan oleh penyerang.
Selain itu, ia memantau frase awal dan kunci pribadi, dan dapat menangkap tangkapan layar yang dieksfiltrasi melalui Tor.
Infeksi dan perbanyakan cacing
Microsoft mengatakan bahwa proses infeksi dimulai dengan korban membuka file LNK, memicu malware di drive USB. Muatan tambahan dipentaskan dari alamat .ONION.
Pemindaian lokal mencari file dokumen di sistem. Ketika file tersebut ditemukan, malware menyembunyikan file asli dan menggantinya dengan pintasan berbahaya dengan nama yang sama. Hal ini menyebabkan malware mengeksekusi ketika pengguna mencoba membuka dokumen.
Worm ini membuat tugas terjadwal yang memantau perangkat penyimpanan USB yang baru terhubung. Saat drive yang dapat dilepas terhubung, malware itu akan menyalin dirinya ke perangkat dan membuat file pintasan berbahaya tambahan.
Sumber: Microsoft
Pencuri data
Komponen pencuri dalam malware dijalankan setelah memeriksa bahwa Task Manager tidak aktif, menjalin komunikasi dengan host perintah-dan-kontrol (C2) menggunakan Tor yang dapat dieksekusi (ugate.exe).
Setiap setengah detik, malware memeriksa clipboard untuk mencari data berikut:
- Frase benih BIP39 12 kata
- Frase benih BIP39 24 kata
- Kunci pribadi Ethereum
- Kunci WIF Bitcoin
- Alamat dompet Bitcoin lawas, P2SH, Bech32, dan Taproot
- Alamat dompet Tron
- Alamat dompet Monero
Alamat yang ditargetkan dipilih berdasarkan angka atau karakter awalnya agar sebagian menyerupai alamat dompet penyerang, untuk mengurangi kemungkinan pengguna menemukan penipuan dalam sekejap.
Sumber: Microsoft
Selain memantau clipboard, malware juga menangkap lima tangkapan layar layar korban setiap sepuluh detik dan mengirimkannya ke C2 menggunakan keriting alat.
Menurut Microsoft, ada juga dukungan untuk eksekusi kode jarak jauh, yang dapat dipicu oleh instruksi C2 EVAL. Secara khusus, malware mengunduh konten JavaScript ke dalam file bernama ‘cfile’, dan mengeksekusinya di mesin yang terinfeksi.
Itu kata peneliti bahwa indikator infeksi yang paling kuat adalah berdasarkan perilaku, bukan berdasarkan tanda tangan, dan merekomendasikan pemantauan aktivitas proses wscript.exe Dan cscript.exepeluncuran tak terduga keritingPowerShell, dan cmd.exebersama dengan proses anak yang tidak biasa.
Selain itu, koneksi ke ‘localhost:9050’ dan aktivitas proksi Tor merupakan tanda bahaya yang terkait dengan kampanye ini.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
