微软表示，它已检测到一种新的自我传播恶意软件，该恶意软件通过USB驱动器传播以寻找加密货币凭证，然后将这些凭证发送到攻击者控制的服务器。该公司将这种蠕虫命名为Crypto Clipper，因为它监视设备剪贴板中的内容，以寻找与钱包地址或种子短语相一致的模式。当找到时，恶意软件还会在10秒内拍摄五个屏幕截图。凭证和屏幕截图随后通过Tor发送给攻击者，Tor是一种网络协议，通过在冗余节点之间发送流量提供匿名路由，因此日志无法捕获发送和接收的IP地址。Crypto Clipper通过使用SOCKS5代理建立Tor连接，SOCKS5是一种通过代理服务器发送流量的网络协议，然后将其转发到最终目的地。轻量级后门“这种剪贴器的执行值得注意，因为它不依赖于传统的安装程序或暴露的基于IP的C2基础设施，”微软周四表示。“相反，它部署了一个可移植的Tor客户端，通过本地SOCKS5代理路由流量，并将数据盗窃与远程代码执行结合起来，将一个以经济利益为动机的窃取者转变为一个轻量级后门。”微软表示，它观察到Crypto Clipper通过USB驱动器上的.lnk文件传播。这些文件存储可执行代码。当感染的USB驱动器插入设备时，该代码会检查是否已经安装在机器上。如果没有，该恶意软件会通过Tor代理下载它。为了更好地掩盖蠕虫的证据，恶意软件会扫描感染的USB驱动器，并将.lnk文件命名为相似的名称。