Кампания за атака срещу Windows чрез Crypto Clipper
Изследователи по сигурността разкриха подробности за сложна операция за клипбординг на криптовалути, базирана на Windows, която е активна от февруари 2026 г. Кампанията използва зловреден софтуер за наблюдение на клипборда, способен на саморазпространение, и използва мрежата за анонимност Tor, за да скрие комуникационната си инфраструктура.
За разлика от конвенционалните операции със зловреден софтуер, които разчитат на стандартни инсталатори или публично изложени сървъри за командване и контрол (C2), тази заплаха разполага с преносим Tor клиент и насочва целия трафик през локален SOCKS5 прокси. Чрез комбиниране на кражба на криптовалута, извличане на данни и възможности за дистанционно изпълнение на код, зловредният софтуер функционира не само като „клипер“, но и като лека задна вратичка.
Съдържание
Как работи зловредният софтуер Clipper
Зловредният софтуер Clipper е предназначен да наблюдава тихо активността в клипборда на жертвата и да прихваща чувствителна информация, копирана в паметта. Основната му цел е да манипулира транзакциите с криптовалута, като идентифицира адреси на портфейли, свързани с известни блокчейн формати, и ги замества с алтернативи, контролирани от нападателя. В резултат на това средствата, предназначени за легитимни получатели, могат да бъдат пренасочени без знанието на жертвата.
Тази кампания разчита на Windows Script Host и ActiveX-базирана функционалност, за да стартира вграден Tor прокси и да комуникира със скрит C2 сървър. Зловредният софтуер извършва непрекъснато наблюдение на клипборда, прави екранни снимки, краде информация, свързана с криптовалута, и замества адресите на портфейли в реално време.
USB-базирана верига за заразяване и функционалност на червеи
Атаката започва с разпространението на злонамерени файлове с пряк път на Windows (LNK) чрез сменяеми USB устройства за съхранение. Когато жертвата отвори един от тези преки пътища, се активира компонент на червея. Злонамереният софтуер първо определя дали системата вече е била заразена и изтегля останалия полезен товар само ако не е открита предишна инфекция.
Полезният товар LNK активно търси в свързани USB устройства често използвани формати на документи, включително DOC, XLSX и PDF файлове. След като бъдат открити, тези файлове се скриват и се заменят със злонамерени файлове с преки пътища, носещи идентични имена. Тази измамна техника увеличава вероятността потребителите несъзнателно да изпълнят зловредния софтуер, докато се опитват да отворят документ, който изглежда легитимен.
Освен първоначалното компрометиране, червеят е отговорен за разпространението на инфекцията към допълнителни незаразени USB устройства. Той също така установява постоянство, като създава планирани задачи както за червея, така и за компонентите на крадца.
Разширено избягване и постоянно изпълнение на команди
Компонентът clipper използва WScript и ActiveXObject, за да взаимодейства директно с операционната система. За да намали вероятността от откриване, зловредният софтуер проверява активните процеси и се прекратява, ако Task Manager е стартиран.
По време на последния етап на изпълнение, преименуван Tor двоичен файл се стартира в скрит прозорец. След това зловредният софтуер генерира уникален идентификатор на жертвата и го регистрира в отдалечената си инфраструктура. След регистрацията, той влиза в непрекъснат оперативен цикъл, като запитва C2 сървъра за команди, докато наблюдава съдържанието на клипборда приблизително на всеки 500 милисекунди.
В допълнение към събирането на данни от портфейли с криптовалута, seed фрази и частни ключове, зловредният софтуер прави екранни снимки и ги прехвърля през мрежата Tor. Ако C2 сървърът отговори с EVAL команда, предоставен от нападателя код се изпълнява динамично на компрометираната система, което значително разширява възможностите на заплахата.
Ключови показатели и препоръки за защита
Екипите по сигурността се съветват да се съсредоточат върху техники за поведенческо откриване, вместо да разчитат единствено на статични сигнатури за зловреден софтуер. Особено внимание трябва да се обърне на подозрителна активност при заснемане на екрана, базирана на PowerShell, и необичайно използване на скриптови двигатели на Windows, като WScript или CScript, за стартиране на помощни програми, включително curl, cmd.exe, PowerShell или други неочаквани изпълними файлове.
Препоръчителните защитни мерки включват:
- Деактивиране на функциите за автоматично изпълнение и автоматично изпълнение за всички сменяеми носители, блокиране на изпълнението на LNK файлове от USB устройства чрез обекти с групови правила (GPO) и ограничаване на ненужното използване на wscript.exe и cscript.exe.
- Системи за мониторинг, които обработват финансови или свързани с криптовалута операции, за необичайна активност в клипборда, неоторизирано поведение при заснемане на екрана и подозрителни мрежови комуникации, свързани с Tor.
Защо тази заплаха се откроява
Тази кампания демонстрира нарастващата сложност на финансово мотивирания зловреден софтуер. Чрез комбиниране на разпространение на червеи през USB, отвличане на клипборда, обфускирани чрез Tor комуникации, извличане на скрийншотове и дистанционно изпълнение на код в един набор от инструменти, операторите са създали универсална заплаха, способна както да краде криптовалутни активи, така и да поддържа дългосрочен достъп до заразените системи. Използването на инфраструктура със скрити услуги допълнително усложнява усилията за откриване и премахване, което прави проактивното наблюдение на поведението критична защитна стратегия.
