Powrót do przeszłości w cyberbezpieczeństwie. Nowy robak kradnie kryptowaluty przez port USB

W erze wyrafinowanych ataków chmurowych i wszechobecnego phishingu cyberprzestępcy przypomnieli sobie o starym, sprawdzonym wektorze ataku.

Microsoft wykrył nowego, samorozprzestrzeniającego się robaka, który infekuje komputery przez zwykłe pendrive’y. Jego jedynym celem jest bezszelestne wyczyszczenie twojego portfela kryptowalut.

Odkryte przez Microsoft zagrożenie otrzymało nazwę Crypto Clipper. To wyjątkowo sprytny kawałek kodu, który łączy archaiczne metody infekcji z najnowocześniejszymi technikami zacierania śladów. Jak ostrzegają badacze, mamy tu do czynienia z „lekkim backdoorem”, który potrafi wyrządzić gigantyczne szkody.

Amerykańskie prawo ważniejsze niż europejska prywatność? Microsoft w centrum afery z holenderskimi urzędnikami

Cichy pasożyt na dysku

Złośliwe oprogramowanie ukrywa się na dyskach USB pod postacią złośliwych skrótów systemu Windows (.lnk), które uruchamiają szkodliwy kod. Co ciekawe, aby uśpić czujność ofiary, robak skanuje zawartość pendrive’a i nadaje swoim skrótom nazwy łudząco podobne do plików, które już się na nim znajdują. Gdy nieświadomy użytkownik uruchomi taki spreparowany skrót, Crypto Clipper instaluje się w systemie i natychmiast przechodzi w tryb nasłuchu.

W przeciwieństwie do głośnego ransomware, ten robak działa bezszelestnie. Jego głównym zadaniem jest monitorowanie systemowego schowka w poszukiwaniu ciągów znaków przypominających adresy portfeli kryptowalutowych oraz tzw. seed phrases (ciągów 12 lub 24 słów odzyskujących dostęp do zgromadzonych środków). Gdy skopiujesz adres, by wykonać przelew, złośliwy kod w ułamku sekundy podmienia go na adres kontrolowany przez hakera. Jeśli nie zweryfikujesz go przed zatwierdzeniem transakcji, twoje środki bezpowrotnie znikną.

Microsoft nie ujawnił pełnej skali tej kampanii, ale użytkownicy systemu Windows powinni zachować szczególną ostrożność przy podłączaniu nieznanych nośników USB.

Na podmianie adresów inwigilacja się jednak nie kończy. Po wykryciu interesujących danych robak wykonuje pięć zrzutów ekranu w odstępie 10 sekund. To pozwala przestępcom zdobyć cenny kontekst operacyjny: widzą, z jakich aplikacji korzystasz, ile masz środków i jak wygląda twoje prywatne środowisko pracy.

Zakamuflowany dzięki sieci Tor

To, co czyni Crypto Clippera tak niebezpiecznym, to sposób, w jaki komunikuje się ze swoimi twórcami. Tradycyjne złośliwe oprogramowanie zazwyczaj łączy się z serwerami dowodzenia (C2) za pomocą otwartych protokołów, co ułatwia jego wykrycie i zablokowanie przez programy antywirusowe.

Tutaj hakerzy zastosowali zupełnie inną taktykę. Robak pobiera przenośnego klienta sieci Tor i kieruje cały skradziony ruch przez lokalne proxy SOCKS5. Dzięki temu przesyłane dane są w pełni zanonimizowane, a wykrycie, dokąd trafiają kradzione kryptowaluty i zrzuty ekranu, staje się dla zapór sieciowych znacznie utrudnione.

Historia zatacza koło

Ten przypadek doskonale udowadnia, że w świecie cyberbezpieczeństwa najsłabszym ogniwem zawsze pozostaje człowiek, a zapomniane metody wciąż są zabójczo skuteczne. Warto przypomnieć, że to właśnie między innymi za pomocą zainfekowanych pamięci USB słynny robak Stuxnet zdołał przeniknąć do fizycznie odciętych od internetu irańskich zakładów i zniszczyć wirówki do wzbogacania uranu.

Skala obu tych zjawisk jest oczywiście inna, ale mechanizm błędu pozostaje identyczny. Kiedyś przez USB niszczono tajne programy nuklearne, dziś czyści się portfele z Bitcoinów i innych kryptowalut. Warto o tym pamiętać, zanim następnym razem w ułamku sekundy zdecydujemy się podłączyć do komputera znaleziony w biurze nośnik danych.

New zero-day Local Privilege Escalation (EoP) flaw in Microsoft Defender: CVE-2026-50656 (RoguePlanet)! 🚨

Low-privilege users can abuse a TOCTOU race condition to hijack system paths and spawn an NT AUTHORITY\SYSTEM shell. Deep dive analysis here:👇

https://denizhalil.com/2026/06/18/cve-2026-50656-microsoft-defender-eop-vulnerability-analysis/

#CVE202650656 #MicrosoftDefender #infosec

Microsoft Tackles RoguePlanet Defender Flaw with Imminent Patch

Microsoft is working on a patch to fix a serious security flaw in Microsoft Defender, known as RoguePlanet, which could allow hackers to gain elevated privileges on affected systems. A high-quality security update is imminent to address this vulnerability and protect users.

https://osintsights.com/microsoft-tackles-rogueplanet-defender-flaw-with-imminent-patch?utm_source=mastodon&utm_medium=social

#ZeroDay #MicrosoftDefender #Rogueplanet #Cve202650656 #ElevationOfPrivilege

Microsoft Scrambles to Patch RoguePlanet Zero-Day in Defender

Microsoft is racing against the clock to fix a critical vulnerability in Defender, known as RoguePlanet, after a proof-of-concept exploit was released, allowing hackers to elevate privileges regardless of real-time protection settings. A patch is in the works, but no release date has been given.

https://osintsights.com/microsoft-scrambles-to-patch-rogueplanet-zero-day-in-defender?utm_source=mastodon&utm_medium=social

#MicrosoftDefender #Rogueplanet #Cve202650656 #ZeroDay #ElevationOfPrivilege

Akira, LimeWire, and the Sour Taste of Data Exfiltration

In a recent ransomware attack, threat actors accessed a victim's hypervisor and created a new virtual machine to stage and launch Akira ransomware. The forensic investigation revealed the attackers disabled Microsoft Defender immediately, installed WinRAR for data staging, and used Easyupload.io, a file transfer website owned by LimeWire, for data exfiltration. The threat actor also utilized WinSCP and enumerated Active Directory users and computers. The newly instantiated VM lacked security tooling, allowing the attacker to operate uninhibited. Analysis of the VHDX file provided clear evidence of the attack progression, showing the threat actor moved quickly through their operations without employing sophisticated anti-forensics techniques. The incident highlights the need for organizations to monitor environments for unusual access and new endpoint creation.

Pulse ID: 6a2c3a9558633c03af0b3177
Pulse Link: https://otx.alienvault.com/pulse/6a2c3a9558633c03af0b3177
Pulse Author: AlienVault
Created: 2026-06-12 16:57:57

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Akira #CyberSecurity #Endpoint #ICS #InfoSec #Mac #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #RAT #RansomWare #WinRAR #WinSCP #bot #AlienVault

Disgruntled Bug Hunter Exposes New Windows 0-Day Vulnerability

A disgruntled bug hunter, known as Nightmare Eclipse, has revealed a new zero-day vulnerability called RoguePlanet, which can give attackers SYSTEM-level control over fully patched Windows 10 and 11 systems. The exploit, fueled by a grudge against Microsoft, targets a weakness in Windows Defender.

https://osintsights.com/disgruntled-bug-hunter-exposes-new-windows-0-day-vulnerability?utm_source=mastodon&utm_medium=social

#ZeroDay #Windows #MicrosoftDefender #LocalPrivilegeEscalation #Vulnerability

A new Microsoft Defender zero-day, 'RoguePlanet,' has been publicly disclosed, allowing attackers to gain SYSTEM privileges on fully patched Windows 10 and 11 systems. Security researcher Chaotic Eclipse released the PoC after a Patch Tuesday, reigniting the debate over vulnerability disclosure practices. The exploit, a race condition, proves viable despite variable reliability, posing…

https://www.tpp.blog/2qzsebf

#cybersecurity #microsoftdefender #rogueplanet

🤖 This post was AI-generated.

Microsoft Defender Zero-Day Exploited for SYSTEM Access

A security researcher, known as Chaotic Eclipse, has discovered a Microsoft Defender zero-day exploit, dubbed RoguePlanet, that can give attackers unrestricted access to compromised machines. The proof-of-concept exploit, released under the handle MSNightmare, can yield a shell with SYSTEM-level privileges, allowing hackers to run arbitrary…

https://osintsights.com/microsoft-defender-zero-day-exploited-for-system-access?utm_source=mastodon&utm_medium=social

#MicrosoftDefender #ZeroDay #Rogueplanet #SystemAccess #EmergingThreats

Microsoft Defender Zero-Day Exploited for SYSTEM Privileges

A newly discovered Microsoft Defender zero-day exploit, dubbed RoguePlanet, can spawn a Windows command prompt with SYSTEM privileges, posing a significant threat to fully patched Windows 10 and 11 devices. This cleverly crafted exploit uses a hit-or-miss race condition to gain elevated access, with some machines surprisingly vulnerable to…

https://osintsights.com/microsoft-defender-zero-day-exploited-for-system-privileges?utm_source=mastodon&utm_medium=social

#MicrosoftDefender #ZeroDay #Rogueplanet #SystemPrivileges #Windows10

The Demon Arrives Later: A Havoc Stager Hides Behind Microsoft Defender DLP

Pulse ID: 6a279c993b98aadf6d690e1a
Pulse Link: https://otx.alienvault.com/pulse/6a279c993b98aadf6d690e1a
Pulse Author: Tr1sa111
Created: 2026-06-09 04:54:49

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#CyberSecurity #InfoSec #Microsoft #MicrosoftDefender #OTX #OpenThreatExchange #bot #Tr1sa111