Crypto Clipper Windows-angrebskampagne
Sikkerhedsforskere har afsløret detaljer om en sofistikeret Windows-baseret kryptovaluta-klipperoperation, der har været aktiv siden februar 2026. Kampagnen anvender malware, der overvåger udklipsholdere og er i stand til at sprede sig selv, og som udnytter Tor-anonymitetsnetværket til at skjule sin kommunikationsinfrastruktur.
I modsætning til konventionelle malware-operationer, der er afhængige af standardinstallationsprogrammer eller offentligt eksponerede Command-and-Control (C2)-servere, implementerer denne trussel en bærbar Tor-klient og ruter al trafik gennem en lokal SOCKS5-proxy. Ved at kombinere kryptovalutatyveri, dataudrensning og fjernkodeudførelsesfunktioner fungerer malwaren ikke kun som en clipper, men også som en let bagdør.
Indholdsfortegnelse
Sådan fungerer Clipper-malwaren
Clipper-malware er designet til lydløst at overvåge et offers aktivitet på udklipsholderen og opsnappe følsomme oplysninger, der kopieres til hukommelsen. Dens primære mål er at manipulere kryptovalutatransaktioner ved at identificere tegnebogsadresser, der er forbundet med kendte blockchain-formater, og erstatte dem med angriberstyrede alternativer. Som et resultat kan midler, der er beregnet til legitime modtagere, omdirigeres uden offerets viden.
Denne kampagne er afhængig af Windows Script Host og ActiveX-baseret funktionalitet til at starte en integreret Tor-proxy og kommunikere med en skjult C2-server. Malwaren udfører kontinuerlig overvågning af udklipsholderen, tager skærmbilleder, stjæler kryptovaluta-relateret information og erstatter tegnebogsadresser i realtid.
USB-baseret infektionskæde og ormfunktionalitet
Angrebet begynder med distribution af ondsindede Windows-genvejsfiler (LNK) via flytbare USB-lagerenheder. Når et offer åbner en af disse genveje, aktiveres en ormekomponent. Malwaren afgør først, om systemet allerede er blevet inficeret, og downloader kun den resterende nyttelast, hvis der ikke registreres en tidligere infektion.
LNK-nyttelasten søger aktivt på tilsluttede USB-enheder efter almindeligt anvendte dokumentformater, herunder DOC-, XLSX- og PDF-filer. Når disse filer opdages, skjules de og erstattes med ondsindede genvejsfiler med identiske navne. Denne vildledende teknik øger sandsynligheden for, at brugerne ubevidst kører malwaren, mens de forsøger at åbne det, der ser ud til at være et legitimt dokument.
Ud over den indledende kompromittering er ormen ansvarlig for at sprede infektionen til yderligere uinficerede USB-enheder. Den etablerer også persistens ved at oprette planlagte opgaver for både ormen og stjælerkomponenterne.
Avanceret undvigelse og vedvarende kommandoudførelse
Clipper-komponenten bruger WScript og ActiveXObject til at interagere direkte med operativsystemet. For at reducere sandsynligheden for opdagelse kontrollerer malwaren aktive processer og afslutter sig selv, hvis Jobliste kører.
I den sidste fase af udførelsen startes en omdøbt Tor-binærfil i et skjult vindue. Malwaren genererer derefter et unikt offer-id og registrerer det i sin eksterne infrastruktur. Efter registreringen går den ind i et kontinuerligt operationelt loop, hvor den poller C2-serveren for kommandoer, mens den overvåger indholdet af udklipsholderen cirka hvert 500 millisekund.
Udover at indsamle kryptovaluta-walletdata, seed-fraser og private nøgler, optager malwaren skærmbilleder og overfører dem via Tor-netværket. Hvis C2-serveren svarer med en EVAL-kommando, udføres angriberens leverede kode dynamisk på det kompromitterede system, hvilket udvider truslens muligheder betydeligt.
Nøgleindikatorer og defensive anbefalinger
Sikkerhedsteams rådes til at fokusere på adfærdsdetekteringsteknikker i stedet for udelukkende at stole på statiske malwaresignaturer. Der skal lægges særlig vægt på mistænkelig PowerShell-baseret skærmbilledeaktivitet og usædvanlig brug af Windows-scriptprogrammer som WScript eller CScript til at starte værktøjer, herunder curl, cmd.exe, PowerShell eller andre uventede eksekverbare filer.
Anbefalede forsvarsforanstaltninger omfatter:
- Deaktivering af AutoRun og AutoPlay-funktionalitet for alle flytbare medier, blokering af LNK-filkørsel fra USB-enheder via Group Policy Objects (GPO'er) og begrænsning af unødvendig brug af wscript.exe og cscript.exe.
- Overvågningssystemer, der håndterer finansielle eller kryptovalutarelaterede operationer, for unormal aktivitet i udklipsholderen, uautoriseret skærmoptagelsesadfærd og mistænkelig Tor-relateret netværkskommunikation.
Hvorfor denne trussel skiller sig ud
Denne kampagne demonstrerer den stigende sofistikering af økonomisk motiveret malware. Ved at kombinere USB-baseret ormeudbredelse, hijacking af udklipsholdere, Tor-forvirret kommunikation, screenshot-eksfiltrering og fjernudførelse af kode i et enkelt værktøjssæt har operatørerne skabt en alsidig trussel, der er i stand til både at stjæle kryptovalutaaktiver og opretholde langsigtet adgang til inficerede systemer. Brugen af skjult-tjenesteinfrastruktur komplicerer yderligere detektions- og fjernelsesbestræbelser, hvilket gør proaktiv adfærdsovervågning til en kritisk forsvarsstrategi.
