Útočná kampaň Crypto Clipper na Windows
Bezpečnostní výzkumníci odhalili podrobnosti o sofistikované operaci „clipper“ pro kryptoměny založené na Windows, která je aktivní od února 2026. Kampaň využívá malware monitorující schránku, který je schopen se sám šířit, a využívá anonymní síť Tor k utajení své komunikační infrastruktury.
Na rozdíl od konvenčních malwarových operací, které se spoléhají na standardní instalační programy nebo veřejně dostupné servery Command-and-Control (C2), tato hrozba nasazuje přenosného klienta Tor a směruje veškerý provoz přes lokální proxy SOCKS5. Kombinací krádeže kryptoměn, exfiltrace dat a možností vzdáleného spuštění kódu funguje malware nejen jako „clipper“, ale také jako lehký backdoor.
Obsah
Jak funguje malware Clipper
Malware Clipper je navržen tak, aby tiše monitoroval aktivitu oběti ve schránce a zachycoval citlivé informace kopírované do paměti. Jeho primárním cílem je manipulovat s kryptoměnovými transakcemi identifikací adres peněženek spojených se známými blockchainovými formáty a jejich nahrazováním alternativami ovládanými útočníkem. V důsledku toho mohou být finanční prostředky určené legitimním příjemcům přesměrovány bez vědomí oběti.
Tato kampaň využívá Windows Script Host a funkce založené na ActiveX ke spuštění integrovaného proxy serveru Tor a komunikaci se skrytým serverem C2. Malware provádí nepřetržitý dohled nad schránkou, pořizuje snímky obrazovky, krade informace související s kryptoměnami a v reálném čase nahrazuje adresy peněženek.
Funkce infekčního řetězce a červů založených na USB
Útok začíná distribucí škodlivých souborů zástupců systému Windows (LNK) prostřednictvím vyměnitelných úložných zařízení USB. Když oběť otevře jeden z těchto zástupců, aktivuje se součást červa. Malware nejprve zjistí, zda byl systém již infikován, a stáhne zbývající datovou část, pouze pokud nebyla zjištěna žádná předchozí infekce.
Nálož LNK aktivně vyhledává na připojených USB zařízeních běžně používané formáty dokumentů, včetně souborů DOC, XLSX a PDF. Po odhalení jsou tyto soubory skryty a nahrazeny škodlivými soubory zkratek se stejnými názvy. Tato klamavá technika zvyšuje pravděpodobnost, že uživatelé nevědomky spustí malware při pokusu o otevření dokumentu, který se jeví jako legitimní.
Kromě počáteční kompromitace je červ zodpovědný za šíření infekce na další neinfikovaná USB zařízení. Také zajišťuje perzistenci vytvářením plánovaných úloh pro červa i komponenty stealer.
Pokročilé úniky a trvalé provádění příkazů
Komponenta Clipper využívá WScript a ActiveXObject k přímé interakci s operačním systémem. Aby se snížila pravděpodobnost detekce, malware kontroluje aktivní procesy a ukončí se, pokud je spuštěn Správce úloh.
Během závěrečné fáze provádění je ve skrytém okně spuštěn přejmenovaný binární soubor Tor. Malware poté vygeneruje jedinečný identifikátor oběti a zaregistruje ho ve své vzdálené infrastruktuře. Po registraci vstoupí do nepřetržité operační smyčky, v níž dotazuje server C2 na příkazy a zároveň monitoruje obsah schránky přibližně každých 500 milisekund.
Kromě sběru dat z kryptoměnových peněženek, seed frází a soukromých klíčů malware také pořizuje snímky obrazovky a přenáší je přes síť Tor. Pokud server C2 odpoví příkazem EVAL, kód dodaný útočníkem se na napadeném systému dynamicky spustí, což výrazně rozšiřuje možnosti hrozby.
Klíčové ukazatele a obranná doporučení
Bezpečnostním týmům se doporučuje, aby se zaměřily na techniky behaviorální detekce, spíše než aby se spoléhaly pouze na statické signatury malwaru. Zvláštní pozornost by měla být věnována podezřelým aktivitám snímání obrazovky pomocí PowerShellu a neobvyklému používání skriptovacích enginů Windows, jako je WScript nebo CScript, ke spouštění utilit, včetně curl, cmd.exe, PowerShellu nebo jiných neočekávaných spustitelných souborů.
Mezi doporučená obranná opatření patří:
- Zakázání funkcí automatického spouštění a automatického přehrávání pro všechna vyměnitelná média, blokování spouštění souborů LNK z USB zařízení pomocí objektů skupinových zásad (GPO) a omezení zbytečného používání souborů wscript.exe a cscript.exe.
- Monitorovací systémy, které zpracovávají finanční operace nebo operace související s kryptoměnami, zjišťují abnormální aktivitu schránky, neoprávněné chování při snímání obrazovky a podezřelou síťovou komunikaci související s Torem.
Proč tato hrozba vyniká
Tato kampaň demonstruje rostoucí sofistikovanost finančně motivovaného malwaru. Kombinací šíření červů přes USB, únosů z schránky, komunikace zahalené pomocí Toru, exfiltrace screenshotů a vzdáleného spuštění kódu do jediné sady nástrojů vytvořili operátoři všestrannou hrozbu schopnou jak krást kryptoměnová aktiva, tak udržovat dlouhodobý přístup k infikovaným systémům. Používání infrastruktury skrytých služeb dále komplikuje detekci a odstraňování, takže proaktivní monitorování chování je klíčovou obrannou strategií.
