Malware-ul care schimbă adresele de plată induce riscuri pentru portofelele crypto cu stick USB

O campanie de malware pentru Windows se răspândește prin fișiere de tip shortcut, cu extensia .LNK, și poate înlocui în tăcere adresele de portofel crypto copiate în clipboard. Malware-ul activează cod malițios atunci când utilizatorii deschid fișiere aparent inofensive de pe stickuri USB, fiind capabil să fure și să manipuleze informații legate de criptomonede.

Metoda de propagare și mecanismul de infectare

Atacul începe la deschiderea unui fișier shortcut malițios de pe un dispozitiv USB. În loc de un document, fișierul .LNK lansează cod malware ce descarcă alte componente de pe internet, utilizând rețeaua Tor pentru a masca serverele de control. Malware-ul copiază automat pe alte stickuri USB conectate ulterior și înlocuiește fișierele obișnuite cu shortcuturi malițioase, având aceleași denumiri.

După infectare, malware-ul păstrează fișierele originale ascunse și creează shortcuturi false ce par fiabile, precum „Factură”, „Contract” sau „Poze vacanță”. Deschiderea acestor shortcuturi activează cod malițios, iar programul creează sarcini automate în Windows pentru a urmări conectarea altor medii de stocare USB, pe care le încearcă să le infecteze.

Recunoașterea și impactul malware-ului

Combinația de propagare prin stickuri, furtul de criptomonede și utilizarea rețelei Tor face această campanie deosebit de periculoasă. În cazul unui calculator infectat, malware-ul poate compromite ulterior mai multe dispozitive externe și poate duce la răspândirea pe alte calculatoare, inclusiv în mediile de acasă sau în birouri.

PUBLICITATE

Funcționalitatea malware-ului pentru furtul criptomonedelor

Componenta principală a amenințării este un program „clipper” care monitorizează în permanență clipboard-ul. Acesta detectează adresele de portofel crypto și le înlocuiește instantaneu cu altele controlate de hackeri. În cazul în care utilizatorul copiază adrese Bitcoin, Ethereum, Tron sau Monero, malware-ul le poate substitui cu variante similare, de aspect apropiat.

Malware-ul poate intercepta și alte date sensibile, precum expresii de recuperare BIP39 cu 12 sau 24 de cuvinte, chei private sau adrese de portofel. Pe lângă furtul de criptomonede, poate face capturi de ecran la intervale regulate și trimite aceste imagini către servere de comandă și control prin rețeaua Tor.

Există și funcția prin care malware-ul poate transmite cod JavaScript pentru execuție de la distanță pe calculatorul infectat, deschizând astfel posibilitatea unui control mai extins asupra dispozitivului.

Semne de alertă pentru utilizatori

Un semn evident de infecție este apariția neașteptată a shortcuturilor în locul documentelor originale de pe stickuri USB. Aceste fișiere pot fi ascunse sau pot avea același nume, dar extensia lor trebuie verificată cu atenție înainte de deschidere. Este recomandată scanarea dispozitivelor și verificarea extensiilor pentru identificarea fișierelor malițioase.