Złośliwe oprogramowanie CryptoBandits pozwala przestępcom używać Twojego dysku USB do uzyskiwania dostępu do portfeli kryptowalut – ostrzega Microsoft

Najnowsze badania Microsoftu dotyczące złośliwego oprogramowania kryptowalutowego wskazują na portfele kryptowalutowe – jeden z wielu punktów, w których transakcja może się nie powieść – jako kluczową praktyczną słabość samodzielnego przechowywania aktywów.

Zainfekowana maszyna z systemem Windows może zmienić adres kopiowany przez użytkownika, ujawnić frazę seed przed podpisaniem przelewu lub przesłać zrzuty ekranu i kontekst portfela do atakującego.

W raporcie opublikowanym 17 czerwca na blogu bezpieczeństwa Microsoft poinformował, że złośliwe oprogramowanie CryptoBandits, wykrywane jako „CryptoBandits.A", jest aktywne od lutego 2026 roku i infekuje systemy za pośrednictwem złośliwych plików skrótów systemu Windows na urządzeniach pamięci masowej USB.

Złośliwe oprogramowanie kradnie również sekrety portfela, podmienia kopiowane adresy i komunikuje się z infrastrukturą dowodzenia i kontroli przez Tor. Microsoft podał, że monitoruje schowek mniej więcej co 500 milisekund i wyszukuje frazy seed, klucze prywatne oraz adresy portfeli.

Portfele sprzętowe, weryfikacja adresów i dyscyplina dotycząca frazy seed pozostają niezbędnymi środkami kontroli. Jednak jeśli endpoint obsługujący przepływ pracy portfela zostanie skompromitowany, atakujący może zobaczyć sekret, zmienić adres docelowy lub obserwować ekran, zanim użytkownik zorientuje się, że coś jest nie tak.

CryptoSlate opisywał już wcześniej podobne wzorce kradzieży portfeli, w tym podmianę adresów w stylu ClipBanker oraz złośliwe oprogramowanie powiązane z Microsoftem. Nowym elementem w raporcie Microsoftu jest połączenie propagacji przez USB, kradzieży ze schowka, sterowania przez Tor oraz wskazówek operacyjnych dotyczących wykrywania tego zachowania.

Jak złośliwe oprogramowanie CryptoBandits zamienia skróty USB w wektory wykonania

Microsoft podał, że początkowy dostęp następuje za pośrednictwem złośliwych plików .lnk, w tym skrótów rozprowadzanych na urządzeniach pamięci masowej USB. W analizowanych przez Microsoft przypadkach skrót inicjuje komponent robaka.

Złośliwe oprogramowanie skanuje następnie dysk USB w poszukiwaniu popularnych plików dokumentów, takich jak .doc, .xlsx i .pdf, ukrywa oryginały i tworzy nowe pliki skrótów o tych samych nazwach.

Rezultatem jest dobrze znana pułapka: użytkownik myśli, że otwiera dokument z nośnika wymiennego, ale w rzeczywistości uruchamia ładunek robaka. To zachowanie odpowiada szerszemu wzorcowi bezpieczeństwa opisanemu przez MITRE ATT&CK jako replikacja przez nośniki wymienne, jednak konsekwencja specyficzna dla kryptowalut jest bardziej bezpośrednia.

Maszyna używana do podpisywania, kopiowania lub sprawdzania szczegółów portfela staje się częścią powierzchni ataku.

Po uruchomieniu złośliwego skrótu złośliwe oprogramowanie umieszcza zaciemnione ładunki JavaScript w katalogu C:\Users\Public\Documents, wykorzystuje zaplanowane zadania do utrwalenia obecności i utrzymuje jedno zadanie skupione na rozprzestrzenianiu się na nowo podłączone dyski USB. Inne zadanie wykonuje działania złodzieja danych.

Atak często zaczyna się od zwykłej obsługi plików. Współdzielony dysk USB, skopiowany plik lub stary nawyk korzystania z nośników wymiennych może wprowadzić endpoint obsługujący portfel w niebezpieczny stan, zanim zostanie otwarte jakiekolwiek oprogramowanie portfela.

To sprawia, że rutynowe korzystanie z nośników wymiennych staje się zagrożeniem ze strony złośliwego oprogramowania USB dla każdego urządzenia, które później będzie obsługiwać przepływy pracy portfela.

Jednak metody zapobiegania są praktyczne. Ryzykowny moment to wykonanie skrótu i następująca po nim utrwalona obecność, zanim rozpocznie się jakakolwiek operacja portfela.

Dla osoby lub zespołu przeprowadzającego transakcje kryptowalutowe urządzenie otwierające nośniki wymienne może być tym samym, które później skopiuje adres wpłaty, wyświetli przepływ odzyskiwania lub przygotuje przelew ze skarbca.

W przypadku operacji portfela polityka dotycząca nośników wymiennych staje się częścią operacji przechowywania aktywów. Użytkownik lub biuro traktujące stację roboczą do podpisywania jako komputer ogólnego przeznaczenia dziedziczy ryzyka związane z każdym przepływem dokumentów powiązanym z tą maszyną.

Urządzenia używane do obsługi portfela potrzebują mniejszej liczby możliwości wykonywania niezaufanych skrótów, skryptów i ładunków.

Atak zaczyna się jako problem ze skrótem Windows, a następnie staje się problemem z kontrolą portfela. Po skompromitowaniu endpointu normalna sekwencja działań użytkownika – kopiowanie adresów, sprawdzanie ekranów i przygotowywanie transakcji – dostarcza złośliwemu oprogramowaniu dokładnie tego materiału, do którego obserwowania zostało zaprojektowane.

Jak złośliwe oprogramowanie CryptoBandits zamienia schowek w ścieżkę transakcji

Analiza Microsoftu pokazuje, dlaczego clipper kryptowalutowy staje się poważnym zagrożeniem, gdy środki są przechowywane samodzielnie. Po zarejestrowaniu się na swoim serwerze dowodzenia i kontroli złośliwe oprogramowanie wchodzi w ciągłą pętlę, która sprawdza schowek mniej więcej co pół sekundy.

Wyszukuje 12- lub 24-wyrazowe frazy seed BIP39, klucze Bitcoin WIF, klucze Ethereum oraz adresy kryptowalutowe.

Jeśli znajdzie frazę seed lub klucz prywatny, Microsoft podał, że złośliwe oprogramowanie może zapisać ją lokalnie i eksfiltrować przez Tor. Jeśli wykryje skopiowany adres kryptowalutowy, może zastąpić tę wartość adresem kontrolowanym przez atakującego.

W przypadku kilku formatów adresów Microsoft podał, że złośliwe oprogramowanie stara się sprawić, aby zamiana wyglądała wystarczająco podobnie, aby uniknąć przypadkowego wykrycia – na przykład dopasowując pierwsze znaki niektórych adresów Bitcoin, Tron lub Monero albo zmieniając tylko ostatni znak w niektórych adresach Bitcoin w stylu Bech32.

Microsoft od lat traktuje podmianę adresów w schowku jako problem kradzieży portfela. W raporcie z 2022 roku dotyczącym cryware i gorących portfeli firma opisała techniki przycinania i zamiany jako metody przechwytywania danych portfela przed zakończeniem transakcji.

Raport CryptoBandits.A pokazuje ten wzorzec powiązany z rozprzestrzenianiem się przez nośniki wymienne i ruchem poleceń opartym na Tor.

Oficjalne wskazówki dotyczące obsługi portfela wyostrzają kwestię przechowywania. Dokumentacja MetaMask traktuje frazy seed i klucze prywatne jako sekrety kontroli portfela i osobno nakazuje użytkownikom weryfikację adresów odbiorców przed potwierdzeniem wysyłki.

CryptoBandits.A atakuje obie strony tego przepływu pracy: sekret kontrolujący portfel i adres otrzymujący środki.

Portfele sprzętowe pozostawiają ryzyko endpointu w przepływie pracy

To konkretne ostrzeżenie dotyczące endpointu odnosi się do urządzenia otaczającego portfel. Izolowanie kluczy prywatnych pozostaje jedną z najsilniejszych ochrony przed wieloma powszechnymi atakami na portfele.

Błędnym założeniem jest to, że ochrona sprzętowa obejmuje każdy krok transakcji. Portfele sprzętowe mogą chronić klucze podpisujące, ale nie mogą sprawić, że schowek skompromitowanego komputera będzie godny zaufania. Jeśli użytkownik skopiuje adres wpłaty na giełdę, adres płatności lub adres przelewu ze skarbca na zainfekowanej maszynie, złośliwe oprogramowanie może zmienić tę wartość, zanim użytkownik ją wklei.

Jeśli użytkownik sprawdzi tylko kilka znajomych znaków, adres zastępczy zaprojektowany tak, aby wyglądał podobnie, może nadal przejść pobieżną weryfikację.

Frazy seed tworzą poważniejszy tryb awarii. Fraza odzyskiwania wpisana lub skopiowana przez skompromitowaną maszynę z systemem Windows staje się ryzykiem zdalnego kompromisu.

Microsoft podał, że złośliwe oprogramowanie może identyfikować frazy w stylu BIP39 i eksfiltrować je do serwera dowodzenia i kontroli. Po ujawnieniu tego rodzaju sekretu ryzyko wykracza poza pojedynczą próbę transferu.

Dla osób indywidualnych higiena portfela jest częściowo higieną urządzenia. W przypadku środków zarządzanych przez zespoły procedury przechowywania muszą traktować zachowanie endpointu jako część procesu zatwierdzania transakcji.

Maszyna używana do sprawdzania sald, przygotowywania przelewów, przenoszenia aktywów lub transferu środków z giełdy powinna mieć inny profil ryzyka niż stacja robocza, która również otwiera nieznane nośniki wymienne.

Użytecznym standardem jest separacja. Urządzenie obsługujące działania portfela powinno mieć mniej powodów do uruchamiania skryptów, otwierania skrótów z dysków USB lub kopiowania materiału odzyskiwania przez schowek.

Gdy przepływ pracy zależy od kopiowania i wklejania, adres docelowy wyświetlany na urządzeniu podpisującym lub zaufanym wyświetlaczu ma większe znaczenie niż adres wyświetlany w przeglądarce lub oknie czatu.

Jeśli podejrzewa się, że stacja robocza została narażona na zagrożenie, odpowiedź również się zmienia. Narażenie może obejmować więcej niż tylko zły adres w jednej oczekującej transakcji.

Może obejmować materiał odzyskiwania, klucze prywatne, zrzuty ekranu i wykonanie poleceń na tej samej maszynie. To skłania do podjęcia działań zaradczych polegających na izolacji endpointu, rotacji ujawnionych materiałów portfela i przejrzeniu każdego transferu przygotowanego na tym urządzeniu.

Wykrywanie zależy od sygnałów behawioralnych

Wskazówki Microsoftu dotyczące łagodzenia zagrożeń skupiają się na zachowaniu. Firma zaleca wyłączenie AutoRun i AutoPlay dla nośników wymiennych, blokowanie wykonywania plików .lnk z nośników wymiennych za pomocą zasad grupy tam, gdzie to możliwe, ograniczenie zbędnego korzystania z hostów skryptów, takich jak wscript.exe i cscript.exe, oraz przegląd reguł redukcji powierzchni ataku pod kątem zaciemnionych skryptów i podejrzanych łańcuchów procesów podrzędnych.

Dla zespołów bezpieczeństwa najsilniejszymi sygnałami są sygnały behawioralne. Microsoft podał, że obrońcy powinni badać przypadki, w których silniki skryptów uruchamiają narzędzia takie jak curl, cmd.exe, PowerShell lub nieoczekiwane pliki wykonywalne.

Firma zwróciła również uwagę na lokalną aktywność proxy SOCKS5 na localhost:9050, zachowanie związane ze schowkiem oraz aktywność przechwytywania ekranu przez PowerShell na urządzeniach obsługujących wrażliwe przepływy finansowe.

Te sygnały odpowiadają kilku standardowym technikom ATT&CK, w tym zbieraniu danych ze schowka, dowodzeniu i kontroli opartej na proxy oraz utrwalaniu przez zaplanowane zadania.

Microsoft Defender wyświetla również możliwości wykrywania dla CryptoBandits, w tym Trojan:Win32/CryptoBandits.A i powiązane wykrycia JavaScript, wraz z pokryciem EDR dla podejrzanych procesów JavaScript, eksfiltracji opartej na curl i aktywności Harmonogramu zadań.

Raport Microsoftu nie ujawnia liczby ofiar, potwierdzonych sum kradzieży, rozmieszczenia geograficznego ani nazwanego przypisania aktora. Ogranicza to wszelkie twierdzenia dotyczące skali szkód finansowych.

Lekcja dotycząca przechowywania aktywów opiera się na obserwowanym zachowaniu: przepływ pracy portfela może zostać skompromitowany, zanim transakcja dotrze do łańcucha.

Natychmiastowy wniosek jest taki, że użytkownicy i operatorzy kryptowalut powinni traktować endpointy jako część stosu portfela. Kontrola USB, ograniczenia skryptów, weryfikacja adresów i dyscyplina schowka są częścią bezpieczeństwa samodzielnego przechowywania aktywów.

To jest ścieżka, którą transakcja pokonuje, zanim dotrze do łańcucha.

Wpis Złośliwe oprogramowanie CryptoBandits pozwala przestępcom używać dysku USB do dostępu do portfeli kryptowalutowych – ostrzega Microsoft pojawił się po raz pierwszy na CryptoSlate.