مایکروسافت به تازگی از وجود یک بدافزار پیشرفته جدید برای ویندوز خبر داده که از بهمن سال گذشته به دنبال ارزهای دیجیتال کاربران است. این بدافزار از نوع Clipper Malware بوده و برخلاف بسیاری از تهدیدهای سایبری امروزی فقط از طریق فلش USB گسترش پیدا میکند.
بدافزارهای Clipper نوع خاصی از بدافزارها هستند که از عادت رایج کاربران در کپی و پیست کردن اطلاعات سوءاستفاده میکنند. این بدافزارها بهطور مداوم کلیپبورد سیستم را زیر نظر دارند و در صورت شناسایی اطلاعات حساس مالی، بهویژه آدرس کیف پولها، محتوای آن را بدون اطلاع کاربر تغییر میدهند.
در نتیجه هنگام انتقال دارایی دیجیتال، رمزارزها به جای کیف پول مقصد به آدرس متعلق به مهاجم ارسال میشوند. بر اساس گزارش مایکروسافت، این بدافزار زمانی کار خودش را آغاز میکند که کاربر یک فلش مموری آلوده را به سیستم متصل کرده و فایلی را که ظاهراً یک سند عادی به نظر میرسد باز کند.
نحوه کار این بدافزار Clipper Malware
در واقع این فایل یک میانبر مخفی با پسوند .lnk است که پس از اجرا، بدافزار را روی سیستم نصب میکند. سپس بدافزار تلاش میکند خود را به سایر فلشهای متصل به دستگاه نیز منتقل کند تا میان کاربران و رایانههای مختلف گسترش یابد.
بدافزار مذکور میتواند سناریوهای خطرناکی را رقم بزند. اگر کاربر آدرس کیف پول رمزارزی را برای انجام تراکنش کپی کند، بدافزار آن را با آدرس مهاجم جایگزین میکند. نکته مهم اینجاست که آدرس جعلی به گونهای ساخته میشود که چند کاراکتر ابتدایی و انتهایی آن با آدرس اصلی مطابقت داشته باشد تا احتمال تشخیص توسط کاربر کاهش یابد.
خطر تنها به سرقت تراکنشها محدود نمیشود. اگر کاربر اطلاعات حساسی مانند عبارت بازیابی Seed Phrase یا کلید خصوصی کیف پول را کپی کند، بدافزار این دادهها را مستقیماً سرقت میکند. در چنین شرایطی مهاجمان میتوانند کنترل کامل کیف پول و تمام داراییهای موجود در آن را به دست آورند.
یکی از ویژگیهای قابل توجه این بدافزار نحوه مخفیسازی ارتباطات آن است. Crypto Clipper بهجای اتصال مستقیم به سرورهای اینترنتی معمول، از نسخهای داخلی و مخفی از شبکه Tor استفاده میکند. دادههای سرقتشده از طریق یک پروکسی محلی SOCKS5 به وبسایتهای مخفی با پسوند .onion ارسال میشوند.
این روش باعث میشود بسیاری از ابزارهای امنیتی سنتی قادر به شناسایی ترافیک مخرب نباشند. مایکروسافت همچنین هشدار داده که این بدافزار تنها یک ابزار سرقت رمزارز نیست. مهاجمان از طریق آن به قابلیت اجرای دستورات از راه دور نیز دسترسی پیدا میکنند.
به بیان دیگر، پس از آلوده شدن سیستم، مجرمان سایبری میتوانند هر نوع کد دلخواه را روی سیستم قربانی اجرا کنند. کارشناسان امنیتی برای مقابله با این تهدید چند توصیه مهم مطرح کردهاند. هنگام ارسال رمزارز باید تمام کاراکترهای آدرس کیف پول بررسی شود .
استفاده از کیف پولهای سختافزاری نیز میتواند امنیت را افزایش دهد، زیرا این دستگاهها آدرس مقصد را روی نمایشگر مستقل خود نمایش میدهند و امکان تأیید نهایی تراکنش را فراهم میکنند. همچنین کاربران باید از اتصال فلش مموریها و حافظههای USB ناشناس یا غیرمطمئن به سیستم مهم خودداری کنند.
