微軟發現了一種新的輕量級後門，可以竊取加密貨幣

微軟表示，它發現了新的自我傳播惡意軟體，該惡意軟體透過 USB 驅動器傳播以搜尋加密貨幣憑證，然後將其發送到攻擊者控制的伺服器。

該公司將蠕蟲命名為 Crypto Clipper，因為它會監視硬體錢包的內容，以查找與錢包地址或助記詞相符的模式。當發現惡意軟體時，它還會在 10 秒內截取五張螢幕截圖。然後，憑證和螢幕截圖都會透過 Tor 傳送給攻擊者，Tor 是一種網路協議，透過跨冗餘節點發送流量來提供匿名路由，以便日誌無法擷取傳送和接收 IP 位址。 Crypto Clipper 使用 SOCKS5 代理程式建立 Tor 連接，SOCKS5 代理程式是一種透過代理伺服器發送流量的網路協議，然後代理伺服器將其轉送到最終目的地。

輕量化尾門

微軟週四表示：“這個截圖工具的實施值得注意，因為它不依賴傳統的安裝程序或暴露的基於 IP 的 C2 基礎設施。” “相反，它部署一個便攜式 Tor 客戶端，通過本地 SOCKS5 代理路由流量，並將數據盜竊與遠程代碼執行混合在一起，將出於經濟動機的竊賊變成輕量級後門。”

微軟表示，它觀察到 Crypto Clipper 透過 USB 隨身碟上的 .lnk 檔案進行傳播。這些檔案儲存可執行程式碼。當您將受感染的 USB 隨身碟連接到裝置時，代碼會檢查該磁碟機是否已安裝在裝置上。如果沒有，惡意軟體就會透過 Tor 代理下載它。為了更好地隱藏蠕蟲病毒的證據，惡意軟體會掃描受感染的 USB 隨身碟並為 .lnk 檔案提供類似的名稱。