A Microsoft detectou uma nova ameaça capaz de se propagar autonomamente através de unidades USB, com o objectivo principal de roubar credenciais de criptomoedas. A ameaça procura dados sensíveis e envia as informações para servidores controlados pelos atacantes, de acordo com o site Ars Technica.
A gigante tecnológica baptizou este verme informático Crypto Clipper. O nome deriva da sua principal função, que passa por analisar a área de transferência dos dispositivos à procura de padrões que correspondam a endereços de carteiras digitais ou frases de recuperação. A segurança nestes ambientes é cada vez mais crítica, numa altura em que grupos de piratas informáticos patrocinados por estados atacam frequentemente estruturas ligadas a activos digitais.
O funcionamento do Crypto Clipper
Quando encontra a informação desejada, o malware não se fica apenas pela cópia do texto. O programa malicioso tira também cinco capturas de ecrã num período de dez segundos. Tanto as credenciais como as imagens são depois enviadas para o atacante através do Tor, um protocolo de rede que garante o anonimato ao encaminhar o tráfego por vários nós redundantes. Desta forma, os registos não conseguem captar os endereços IP de quem envia nem de quem recebe os dados.
Para estabelecer esta ligação, o Crypto Clipper utiliza um proxy SOCKS5, que reencaminha o tráfego através de um servidor intermédio antes de chegar ao destino final. Este nível de sofisticação mostra como as empresas e os utilizadores individuais precisam de manter os seus sistemas actualizados, prestando especial atenção quando certificados de segurança do sistema operativo precisam de ser renovados.
Uma porta das traseiras discreta
A execução deste software destaca-se por não depender de um instalador tradicional ou de uma infra-estrutura de comando e controlo baseada em IP exposto. Em vez disso, implementa um cliente Tor portátil e mistura o roubo de dados com a execução remota de código. Na prática, isto transforma um programa focado no roubo financeiro numa backdoor bastante leve e difícil de detectar.
A propagação ocorre de forma engenhosa, através de um processo bem definido:
- Infecção inicial através de dispositivos físicos: O código malicioso entra no computador da vítima quando esta liga uma pen USB infectada, a executar ficheiros com a extensão .lnk que armazenam código perigoso.
- Verificação e descarregamento silencioso: O sistema verifica se a máquina já está comprometida. Caso não esteja, o malware descarrega os componentes necessários através do proxy Tor, sem levantar suspeitas.
- Camuflagem no sistema de ficheiros: Para ocultar as provas da sua existência, o verme informático analisa a unidade USB infectada e atribui aos ficheiros .lnk nomes muito semelhantes aos dos documentos legítimos já presentes no dispositivo.
