Un nuovo malware capace di rubare credenziali per le criptovalute è finito sotto la lente di Microsoft, che lo ha individuato mentre si diffondeva in modo autonomo tramite chiavette USB. Il bersaglio sono i portafogli digitali e le informazioni che permettono di accedervi, dati che poi vengono spediti verso server controllati dagli aggressori. Il nome scelto è Crypto Clipper, e la logica dietro questo soprannome è piuttosto diretta.
Come lavora Crypto Clipper
Il worm tiene d’occhio gli appunti del dispositivo, cioè quella memoria temporanea dove finisce tutto ciò che viene copiato e incollato. Va a caccia di sequenze che assomigliano a indirizzi di wallet o alle cosiddette seed phrase, le frasi composte da 12 o 24 parole che funzionano come chiave d’accesso ai fondi. Quando trova qualcosa di interessante, scatta anche cinque screenshot nell’arco di dieci secondi. Microsoft ritiene che queste immagini servano a fornire un contesto utile a chi sta dietro l’attacco.
Tutto il materiale raccolto, credenziali e immagini, viene poi inoltrato attraverso Tor, il protocollo che garantisce l’anonimato facendo rimbalzare il traffico tra nodi multipli, così che nessun registro possa collegare insieme l’indirizzo di partenza e quello di arrivo. Per stabilire questa connessione, il malware si appoggia a un proxy SOCKS5, che inoltra i dati fino alla destinazione finale.
C’è poi un dettaglio che rende il tutto più insidioso. Crypto Clipper non si limita a osservare. Sostituisce gli indirizzi che individua con altri appartenenti ai portafogli degli aggressori. In pratica, un pagamento destinato a una persona può finire dirottato nelle tasche sbagliate senza che nessuno se ne accorga al momento giusto.
Una backdoor leggera ma efficace
Quello che colpisce gli esperti è il modo in cui questo software funziona. Niente installer tradizionale, niente infrastruttura di comando e controllo basata su indirizzi IP esposti. Al suo posto un client Tor portatile, traffico instradato tramite proxy locale e una combinazione di furto dati ed esecuzione di codice da remoto. Il risultato, secondo Microsoft, trasforma un semplice stealer a scopo di lucro in una vera e propria backdoor leggera.
La diffusione avviene tramite file con estensione .lnk piazzati sulle chiavette USB, file che contengono codice eseguibile. Quando una pennetta infetta viene collegata a un computer, il codice controlla se è già presente sulla macchina. In caso contrario, scarica il malware passando sempre dal proxy Tor. Per nascondere meglio le proprie tracce, il programma analizza la chiavetta e rinomina i file .lnk con nomi simili a quelli già esistenti.
Sul fronte difensivo, Microsoft Defender for Endpoint riconosce i componenti di Crypto Clipper come processi JavaScript sospetti e possibili esfiltrazioni di dati tramite Curl. L’antivirus di Microsoft lo identifica invece come Trojan: Win32/CryptoBandits.A. Più in generale, i segnali più chiari di un’infezione sono interpreti di script che generano processi figli sospetti, l’uso del proxy su localhost:9050, comandi di cattura schermo in PowerShell e tracce di ispezione degli appunti o di sostituzione degli indirizzi crypto.
Secondo Microsoft questa famiglia di malware dimostra come stealer leggeri e basati su script possano avere un impatto sproporzionato quando si uniscono a comunicazioni anonimizzate e gestione del codice in tempo reale. La somma di comando e controllo via Tor, monitoraggio degli appunti, cattura di screenshot ed esecuzione di codice remoto offre agli aggressori sia vie immediate per monetizzare sia un controllo prolungato sui dispositivi compromessi.