مایکروسافت جزئیات یک بدافزار پیشرفته جدید برای ویندوز را منتشر کرده که از بهمن سال گذشته بهصورت مخفیانه کاربران ارزهای دیجیتال را هدف قرار داده است. این بدافزار که در دسته «Clipper Malware» قرار میگیرد، برخلاف بسیاری از تهدیدهای سایبری امروزی از طریق حافظههای USB آلوده گسترش پیدا میکند.
بدافزارهای Clipper نوع خاصی از بدافزارها هستند که از عادت رایج کاربران در کپی و پیست کردن اطلاعات سوءاستفاده میکنند. این بدافزارها بهطور مداوم کلیپبورد سیستم را زیر نظر دارند و در صورت شناسایی اطلاعات حساس مالی، بهویژه آدرس کیف پولهای رمزارزی، محتوای آن را بدون اطلاع کاربر تغییر میدهند.
در نتیجه، هنگام انتقال دارایی دیجیتال، رمزارزها به جای کیف پول مقصد به آدرس متعلق به مهاجم ارسال میشوند. بر اساس گزارش مایکروسافت، زنجیره آلودگی این بدافزار زمانی آغاز میشود که کاربر یک فلش مموری آلوده را به سیستم متصل کرده و فایلی را که ظاهراً یک سند عادی به نظر میرسد باز کند.
در واقع این فایل یک میانبر مخفی با پسوند .lnk است که پس از اجرا، بدافزار را روی سیستم نصب میکند. سپس بدافزار تلاش میکند خود را به سایر درایوهای قابل حمل متصل به دستگاه نیز منتقل کند تا میان کاربران و رایانههای مختلف گسترش یابد.
پس از فعال شدن، Crypto Clipper میتواند سناریوهای خطرناکی را رقم بزند. اگر کاربر آدرس کیف پول رمزارزی را برای انجام تراکنش کپی کند، بدافزار آن را با آدرس مهاجم جایگزین میکند. نکته مهم اینجاست که آدرس جعلی به گونهای ساخته میشود که چند کاراکتر ابتدایی و انتهایی آن با آدرس اصلی مطابقت داشته باشد تا احتمال تشخیص توسط کاربر کاهش یابد.
خطر تنها به سرقت تراکنشها محدود نمیشود. اگر کاربر اطلاعات حساسی مانند عبارت بازیابی (Seed Phrase) یا کلید خصوصی کیف پول را کپی کند، بدافزار این دادهها را مستقیماً سرقت میکند. در چنین شرایطی مهاجمان میتوانند کنترل کامل کیف پول و تمام داراییهای موجود در آن را به دست آورند.
یکی از ویژگیهای قابل توجه این بدافزار نحوه مخفیسازی ارتباطات آن است. Crypto Clipper بهجای اتصال مستقیم به سرورهای اینترنتی معمول، از نسخهای داخلی و مخفی از شبکه Tor استفاده میکند. دادههای سرقتشده از طریق یک پروکسی محلی SOCKS5 به وبسایتهای مخفی با پسوند .onion ارسال میشوند. این روش باعث میشود بسیاری از ابزارهای امنیتی سنتی قادر به شناسایی ترافیک مخرب نباشند.
مایکروسافت همچنین هشدار داده که این بدافزار تنها یک ابزار سرقت رمزارز نیست. مهاجمان از طریق آن به قابلیت اجرای دستورات از راه دور نیز دسترسی پیدا میکنند. به بیان دیگر، پس از آلوده شدن سیستم، مجرمان سایبری میتوانند هر نوع کد دلخواه را روی رایانه قربانی اجرا کنند و عملاً یک بکدور دائمی در اختیار داشته باشند.
کارشناسان امنیتی برای مقابله با این تهدید چند توصیه مهم مطرح کردهاند. هنگام ارسال رمزارز باید تمام کاراکترهای آدرس کیف پول بررسی شود و صرفاً تطابق چند کاراکتر ابتدایی یا انتهایی کافی نیست.
استفاده از کیف پولهای سختافزاری نیز میتواند امنیت را افزایش دهد، زیرا این دستگاهها آدرس مقصد را روی نمایشگر مستقل خود نمایش میدهند و امکان تأیید نهایی تراکنش را فراهم میکنند. همچنین کاربران باید از اتصال فلش مموریها و حافظههای USB ناشناس یا غیرمطمئن به سیستمهای مهم خودداری کنند.
به گفته مایکروسافت، برخلاف حملات گسترده به صرافیهای رمزارزی، این بدافزار مستقیماً سرمایهگذاران و کاربران عادی را هدف قرار میدهد و از سادهترین فعالیت روزمره یعنی کپی و پیست کردن اطلاعات سوءاستفاده میکند. به همین دلیل، بررسی سطحی آدرس کیف پول دیگر برای حفظ امنیت داراییهای دیجیتال کافی نخواهد بود.
نظرات کاربران