A Microsoft revelou nesta quinta-feira a descoberta de um novo malware autopropagável que se espalha através de dispositivos USB com o objetivo de roubar credenciais de criptomoedas. O programa malicioso, batizado de Crypto Clipper, monitora continuamente o conteúdo da área de transferência do dispositivo infectado em busca de padrões compatíveis com endereços de carteiras digitais ou frases de recuperação de acesso.
Quando o malware identifica dados sensíveis relacionados a criptomoedas, ele realiza cinco capturas de tela em um intervalo de 10 segundos. Em seguida, tanto as credenciais quanto as imagens são transmitidas para servidores controlados pelos atacantes através da rede Tor, um protocolo que permite roteamento anônimo ao enviar o tráfego por nós redundantes, impossibilitando que registros capturem simultaneamente os endereços IP de origem e destino.
A conexão com a rede Tor é estabelecida utilizando um proxy SOCKS5, protocolo que direciona o tráfego através de um servidor proxy antes de encaminhá-lo ao destino final. Segundo a Microsoft, a execução deste clipper é notável por não depender de um instalador tradicional ou de infraestrutura de comando e controle baseada em endereços IP expostos.
Em vez disso, o malware implanta um cliente Tor portátil, direciona o tráfego através de um proxy SOCKS5 local e combina roubo de dados com execução de código remoto, transformando um ladrão financeiramente motivado em um backdoor leve e difícil de detectar.
Fonte: Ars Technica
