Új vírus terjed USB-n: észrevétlenül cseréli ki a kirptotárcák címeit
Cikk meghallgatása
A Microsoft biztonsági kutatói egy új, rendkívül veszélyes kriptolopó vírusra figyeltek fel, amely USB-meghajtókon keresztül terjed, és a háttérben lecseréli a felhasználók által másolt tárcacímeket a támadók által irányított címekre. A Crypto Clipper névre keresztelt malware, amelyet a Microsoft Defender Trojan/CryptoBandits néven azonosít, február óta aktív, és elsősorban Windows-felhasználókat vesz célba.
A fenyegetés különösen aggasztó a kriptobefektetők számára, mert nemcsak a vágólapról másolt wallet-címeket manipulálja, hanem seed phrase-eket, privát kulcsokat és más érzékeny adatokat is képes összegyűjteni.
Így működik a Crypto Clipper vírus
A vírus egyik különlegessége, hogy nem hagyományos módon kommunikál a támadók szervereivel. Egy hordozható Tor-klienst használ, amelyen keresztül rejtett hálózati kapcsolatot épít ki. Ez jelentősen megnehezíti a fertőzés nyomon követését és a kommunikáció blokkolását.
A fertőzés jellemzően egy USB-meghajtóról indul. A kártevő dokumentumnak álcázott fájlokat helyez el a pendrive-on, amelyek valójában parancsikonok. Ha a felhasználó megnyit egy ilyen fájlt, a vírus elrejti az eredeti dokumentumokat, lemásolja magát a számítógépre, majd minden később csatlakoztatott meghajtóra is továbbterjed. Emellett olyan beállításokat hoz létre a rendszerben, amelyek biztosítják, hogy a számítógép újraindítása után is aktív maradjon.
A vírus lépései nagyvonalakban
A Crypto Clipper legveszélyesebb funkciója azonban a vágólap figyelése. Körülbelül fél másodpercenként ellenőrzi, hogy a felhasználó másolt-e kriptotárca-címet, seed phrase-t vagy privát kulcsot. Ha ilyet talál, automatikusan lecseréli azt a támadók saját adataira.
Ennek következtében a felhasználó azt hiheti, hogy a megfelelő címet illesztette be egy tranzakció során, valójában azonban a kriptovaluta egy csaló tárcájába kerül. A vírus képes felismerni a 12 és 24 szavas helyreállító kifejezéseket is, valamint több ismert blokklánchoz tartozó privát kulcsokat.
Miért ennyire veszélyes?
A kriptovaluta-tranzakciók egyik sajátossága, hogy visszafordíthatatlanok. Ha egy tranzakció rossz címre kerül elküldésre, azt általában már nem lehet visszaszerezni. A Crypto Clipper pontosan erre épít, ugyanis a címcsere a háttérben történik, sok esetben úgy, hogy a felhasználó semmit sem vesz észre belőle.
A helyzetet tovább súlyosbítja, hogy a kártevő nem áll meg a wallet-címek manipulálásánál. Képes képernyőképeket készíteni, érzékeny adatokat gyűjteni, sőt bizonyos esetekben távoli kódfuttatásra is lehetőséget biztosít a támadóknak. Ez azt jelenti, hogy egy egyszerű kriptolopó programból könnyen egy sokkal komolyabb rendszerfeltörési eszköz válhat.
A seed phrase-ek ellopása pedig különösen kritikus veszélyt jelent. Ha egy támadó megszerzi a tárca helyreállító kifejezését, gyakorlatilag teljes hozzáférést kap a benne tárolt eszközökhöz, függetlenül attól, hogy szoftveres vagy hardveres tárcáról van szó.
Mit javasol a Microsoft?
A Microsoft szerint a védekezés egyik legfontosabb eleme a gyanús viselkedések figyelése, mivel az ilyen típusú malware-eket nem mindig könnyű hagyományos víruskereső módszerekkel azonosítani. A vállalat emellett azt is javasolja, hogy a felhasználók kapcsolják ki az automatikus futtatási funkciókat a cserélhető meghajtókon, és fokozottan figyeljenek az USB-eszközökről megnyitott fájlokra.
A kriptovalutát használók számára a legfontosabb tanács továbbra is az, hogy minden tranzakció előtt alaposan ellenőrizzék a fogadócímet. Egyetlen karakter eltérése is azt jelentheti, hogy a pénz rossz helyre kerül.
Mit jelent ez a magyar kriptoközösség számára?
A magyar kriptobefektetők száma folyamatosan növekszik, és sokan rendszeresen használnak pendrive-okat vagy külső meghajtókat adatmozgatásra. Ez különösen kedvező környezetet teremthet egy olyan kártevő számára, amely éppen az USB-eszközökön keresztül terjed.
Bár a Microsoft Defender már képes felismerni a CryptoBandits ismert változatait, a szakértők szerint továbbra is a tudatosság jelenti a legerősebb védelmet. A wallet-címek ellenőrzése, a seed phrase-ek offline tárolása és a gyanús fájlok elkerülése ma már nem csupán ajánlott biztonsági gyakorlat, hanem alapvető követelmény minden kriptovalutát használó számára.