مایکروسافت اعلام کرد که بدافزاری به نام «کریپتو کلیپر» که از طریق درایوهای USB آلوده منتشر میشود، در حال گسترش است و هدف آن کیفپولهای ارز دیجیتال کاربران ویندوز است. این بدافزار، پس از نصب از طریق فایل کوتاهمدت مخرب .lnk، بر روی کلیپبورد برای یافتن عبارتهای کشت، کلیدهای خصوصی و آدرسهای گیرنده نظارت میکند، دادهها را از طریق شبکه تور سرقت میکند و میتواند آدرسهای کیفپول کنترلشده توسط هکر را به طور پنهانی جایگزین کند. این بدافزار با جایگزین کردن فایلهای سند درایوهای USB تمیز با فایلهای کوتاهمدت همنام، شیوع پیدا میکند.
مایکروسافت از کاربران خواسته است که قابلیت AutoRun را غیرفعال کرده، اجرای فایلهای .lnk بر روی درایوهای USB را مسدود کنند، میزبانهای اسکریپت را محدود کرده و شبکههای خود را با شاخصهای اعلامشده ضد حمله بررسی کنند.
این بدافزار، هر ۵۰۰ میلیثانیه یکبار کلیپبورد ویندوز را برای یافتن عبارات کشت یا کلیدهای خصوصی بررسی میکند؛ دادهها را به سرور هکرها از طریق شبکه تور ارسال میکند و در عین حال چندین اسکرینشات میگیرد و آنها را هم ارسال میکند. همچنین اگر کاربر آدرس گیرندهای برای ارسال درآمد کپی کند، این بدافزار به طور پنهانی آن را با آدرس کنترلشده توسط هکر جایگزین میکند، قبل از اینکه کاربر آن را پیست کند، بنابراین انتقال به سمت هکر انجام میشود.
در صورت اتصال یک درایو USB تمیز، بدافزار به صورت خودکار این درایو را اسکن کرده و فایلهای معمولی،Word،Excel و PDF را با فایلهای کوتاهمدت جدید جایگزین میکند و همین روند ادامه مییابد. مایکروسافت توصیه کرده است که قابلیت AutoRun را برای رسانههای قابل حمل غیرفعال کنید، اجرای فایلهای .lnk را مسدود کنید و میزبانهای اسکریپت مانند wscript.exe و cscript.exe را محدود کنید. کاربران Defender میتوانند از ابزارهای جستوجو برای بررسی فعالیتهای مربوطه استفاده کنند و مایکروسافت فهرستی از شاخصهای شاخصهای حمله شامل هشهای فایل و دامنههای .onion که به عنوان سرورهای کنترل و فرمان عمل میکنند، ارائه داده است.
