Microsoft varoittaa: USB:n kautta leviävä haittaohjelma vaihtaa kopioidun lompakko-osoitteen
- Microsoftin varoittama clipper-haittaohjelma vaihtaa leikepöydältä kopioidun lompakko-osoitteen hyökkääjän osoitteeseen.
- Ohjelma on levinnyt Windows-koneisiin USB-laitteiden kautta helmikuusta lähtien ilman tavallista asennusohjelmaa.
- Se ottaa kuvakaappauksen kymmenen sekunnin välein ja etsii myös palautuslauseita ja yksityisiä avaimia.
- Microsoft Defender tunnistaa haittaohjelman nimellä Trojan:Win32/CryptoBandits.A.
Vaarallinen hetki ei ole haittaohjelman asentuminen vaan se sekunti, kun liität lompakko-osoitteen maksukenttään. Microsoftin varoittama clipper-haittaohjelma vaihtaa osoitteen huomaamatta hyökkääjän omaan.
Kopioit lompakko-osoitteen, liität sen maksukenttään ja painat lähetä. Osoite näyttää oikealta, mutta se ei ole se, jonka kopioit. Juuri tähän hetkeen Microsoftin keskiviikkona julkaisema varoitus iskee.
Microsoft kertoo tietoturvablogissaan haittaohjelmasta, joka on vaivannut Windows-käyttäjiä helmikuusta lähtien. Ohjelma leviää USB-laitteiden kautta ja kuuluu lajiin, jota kutsutaan nimellä clipper. Sen ydinkikka on yksinkertainen. Se vahtii koneen leikepöytää ja korvaa kopioidun lompakko-osoitteen hyökkääjän hallitsemalla osoitteella.
Osoitteenvaihto toimii useassa ketjussa, muun muassa Bitcoinissa ja Ethereumissa. Vastaanottajan osoite korvataan hiljaa sillä hetkellä, kun se liitetään maksukenttään, ja varat lähtevät hyökkääjälle ilman että uhri huomaa mitään. Lompakko-osoitteet ovat pitkiä merkkijonoja, joita ei lueta kokonaan, vaan niitä vilkaistaan. Tavallinen kryptokäyttäjä ei tarkista osoitetta merkki merkiltä, ja juuri siihen luotetaan.
Clipper-haittaohjelma
Clipper on haittaohjelma, joka vakoilee tietokoneen leikepöytää. Kun kopioit kryptolompakon osoitteen, se vaihtaa sen huomaamatta hyökkääjän osoitteeseen ennen kuin liität sen. Rahat lähtevät oikealta näyttävään mutta väärään osoitteeseen.
Leikepöytä on uusi murtautumisreitti
Microsoft kuvaa menetelmää jatkuvaksi leikepöytävalvonnaksi. Kun ohjelma on käynnissä, leikepöydän sisältöä seurataan tauotta ja koneesta otetaan lisäksi kuvakaappaus kymmenen sekunnin välein.
Kohteena ovat erityisesti palautuslauseet ja yksityiset avaimet. Näihin kuuluvat BIP39-palautuslauseet, jotka käyttäjä saattaa kopioida ruudulle hetkeksi.
Kuvakaappauksista hyökkääjä näkee, mitä uhri oli todellisuudessa tekemässä, vaikka osoite olisi jo ehditty vaihtaa.
Miksi tällainen ohjelma on niin hankala torjua? Vastaus on sen leviämistavassa.
Ei asennusohjelmaa, ei kiinteää palvelinta
Tavallinen haittaohjelma saapuu asennustiedostona ja ottaa yhteyden tunnettuun palvelimeen. Tämä ei tee kumpaakaan.
Ohjelma kopioi itsensä USB-tikulle ja siirtyy seuraavaan koneeseen, kun tikku liitetään. Mitään perinteistä asentajaa ei tarvita, eikä se nojaa IP-pohjaiseen infrastruktuuriin. Siksi verkon reunalla istuvat suojaukset eivät saa siitä helposti otetta.
Tartunta voidaan kantaa myös sellaiseen koneeseen, jota ei ole koskaan kytketty verkkoon.
Lisäksi ohjelma asentaa uhrin koneelle Tor-verkon ja ohjaa komentoliikenteensä sen läpi.
– Yhdistelmä peittää hyökkääjien infrastruktuurin näkyvistä, Microsoft toteaa blogissaan.
Pelkkä osoitteenvaihto ei ole pahin osa. Ohjelmaan sisältyy takaovi, joka jättää koneelle pysyvän jalansijan ja voi avata tien jatkohyökkäyksille, kiristysohjelma mukaan lukien. Kun komentoliikenne piilotetaan Tor-verkkoon, tartuntaa on vaikea jäljittää senkin jälkeen, kun ensimmäiset varat on jo viety.
Microsoft Defender tunnistaa haittaohjelman nimellä Trojan:Win32/CryptoBandits.A.
Suojausohjelmasta on apua, mutta paras puolustus on tieto vaarallisesta hetkestä. Osoitteen ensimmäiset ja viimeiset merkit kannattaa tarkistaa aina ennen kuin kryptoa lähetetään.
Tottumus syntyy harjoittelemalla, ja ihan pienikin testilähetys tutulle osoitteelle opettaa silmän huomaamaan vaihdetun merkkijonon. Toistaiseksi se on yksinkertaisin tapa pysäyttää clipperin tehokkain temppu.
