اگر برای انتقال فایلها بین سیستمهای مختلف از فلشمموری استفاده میکنید، احتمالاً بذر کیفپول ارز دیجیتال شما در معرض خطری نامرئی است. طبق اعلام مایکروسافت در ۱۸ ژوئن ۲۰۲۶، کرمی خود-انتشاریافته به نام Crypto Clipper شناسایی شده است که بهطور تخصصی برای شکار کلیدهای خصوصی داراییهای دیجیتال طراحی شده است.
این تهدید در حالی رخ میدهد که ابزارهای امنیتی سنتی بیشتر بر شناسایی سرورهای فرمان و کنترل (C2) مبتنی بر IP تمرکز دارند. همانطور که در بحثهای گذشتهی ما دربارهی امنیت سیستمهای توزیعشده اشاره کردیم، مهاجمان همواره به دنبال نقاط کور در زیرساختهای نظارتی هستند. در اینجا، یک فلشمموری ساده میتواند مانند یک کلید تقلبی عمل کند که قفلهای امنیتی یک ایستگاه کاری را بدون بهجا گذاشتن ردپای شبکه، باز میکند.
بر اساس مستندات مایکروسافت، این بدافزار از مکانیزمهای زیر برای عملیات خود استفاده میکند:
- انتشار: استفاده از فایلهای .lnk روی درایوهای USB برای اجرای کد و بررسی نصب بودن بدافزار.
- سرقت: نظارت بر حافظه موقت (Clipboard) برای یافتن آدرس کیفپول یا عبارات بذر (Seed Phrase) و ثبت ۵ عکس از صفحه در هر ۱۰ ثانیه پس از شناسایی.
- استخراج: ارسال دادهها از طریق یک کلاینت Tor (شبکه ناشناس برای مخفی کردن مسیر ارتباط) و پروکسی SOCKS5 جهت پنهان کردن IP فرستنده.
به گزارش مایکروسافت، این ابزار فراتر از یک دزد ساده است و در واقع یک «درِ پشتی» (Backdoor) سبک است. این یعنی مهاجم میتواند علاوه بر سرقت مالی، کدهای مخرب خود را از راه دور اجرا کند.
گام بعدی شما
- فوراً عادتهای استفاده از USB را بازبینی کنید و از اتصال درایوهای ناشناس به سیستمهای حساس بپرهیزید.
- عبارات بذر کیفپول خود را بهصورت آفلاین (کاغذی یا سختافزاری) ذخیره کنید و هرگز آنها را در دستگاههای متصل به شبکه قرار ندهید.
- از ابزارهای بهروزرسانی سیستم برای مسدود کردن اجرای خودکار فایلهای .lnk در درایوهای خارجی استفاده کنید.
اما نکته تکاندهنده، نحوه تکامل این کرم برای هدف قرار دادن پلهای ارتباطی کیفپولهای سختافزاری است؛ موضوعی که در گزارشهای امنیتی آینده بررسی خواهیم کرد.
گفتگو