Εκστρατεία επίθεσης Crypto Clipper για τα Windows
Ερευνητές ασφαλείας αποκάλυψαν λεπτομέρειες για μια εξελιγμένη επιχείρηση clipper κρυπτονομισμάτων που βασίζεται σε Windows, η οποία είναι ενεργή από τον Φεβρουάριο του 2026. Η καμπάνια χρησιμοποιεί κακόβουλο λογισμικό παρακολούθησης clipboard ικανό να αυτοδιαδίδεται και αξιοποιεί το δίκτυο ανωνυμίας Tor για να αποκρύψει την υποδομή επικοινωνιών του.
Σε αντίθεση με τις συμβατικές λειτουργίες κακόβουλου λογισμικού που βασίζονται σε τυπικά προγράμματα εγκατάστασης ή δημόσια εκτεθειμένους διακομιστές Command-and-Control (C2), αυτή η απειλή αναπτύσσει ένα φορητό πρόγραμμα-πελάτη Tor και δρομολογεί όλη την κίνηση μέσω ενός τοπικού proxy SOCKS5. Συνδυάζοντας την κλοπή κρυπτονομισμάτων, την εξαγωγή δεδομένων και τις δυνατότητες απομακρυσμένης εκτέλεσης κώδικα, το κακόβουλο λογισμικό λειτουργεί όχι μόνο ως clipper αλλά και ως ένα ελαφρύ backdoor.
Πίνακας περιεχομένων
Πώς λειτουργεί το κακόβουλο λογισμικό Clipper
Το κακόβουλο λογισμικό Clipper έχει σχεδιαστεί για να παρακολουθεί σιωπηλά τη δραστηριότητα του προχείρου ενός θύματος και να αναχαιτίζει ευαίσθητες πληροφορίες που αντιγράφονται στη μνήμη. Ο κύριος στόχος του είναι να χειραγωγεί συναλλαγές κρυπτονομισμάτων εντοπίζοντας διευθύνσεις πορτοφολιών που σχετίζονται με γνωστές μορφές blockchain και αντικαθιστώντας τες με εναλλακτικές λύσεις που ελέγχονται από εισβολείς. Ως αποτέλεσμα, τα κεφάλαια που προορίζονται για νόμιμους παραλήπτες μπορούν να ανακατευθυνθούν χωρίς να το γνωρίζει το θύμα.
Αυτή η καμπάνια βασίζεται στο Windows Script Host και σε λειτουργίες που βασίζονται στο ActiveX για την εκκίνηση ενός ενσωματωμένου Tor proxy και την επικοινωνία με έναν διακομιστή C2 με κρυφή υπηρεσία. Το κακόβουλο λογισμικό εκτελεί συνεχή παρακολούθηση στο πρόχειρο, καταγράφει στιγμιότυπα οθόνης, κλέβει πληροφορίες που σχετίζονται με κρυπτονομίσματα και αντικαθιστά διευθύνσεις πορτοφολιών σε πραγματικό χρόνο.
Αλυσίδα μόλυνσης και λειτουργικότητα σκουληκιών που βασίζεται σε USB
Η επίθεση ξεκινά με τη διανομή κακόβουλων αρχείων συντομεύσεων των Windows (LNK) μέσω αφαιρούμενων συσκευών αποθήκευσης USB. Όταν ένα θύμα ανοίξει μία από αυτές τις συντομεύσεις, ενεργοποιείται ένα στοιχείο worm. Το κακόβουλο λογισμικό πρώτα προσδιορίζει εάν το σύστημα έχει ήδη μολυνθεί και κατεβάζει το υπόλοιπο ωφέλιμο φορτίο μόνο εάν δεν εντοπιστεί προηγούμενη μόλυνση.
Το ωφέλιμο φορτίο LNK αναζητά ενεργά συνδεδεμένες συσκευές USB για συνήθως χρησιμοποιούμενες μορφές εγγράφων, συμπεριλαμβανομένων αρχείων DOC, XLSX και PDF. Μόλις εντοπιστούν, αυτά τα αρχεία αποκρύπτονται και αντικαθίστανται από κακόβουλα αρχεία συντομεύσεων που φέρουν πανομοιότυπα ονόματα. Αυτή η παραπλανητική τεχνική αυξάνει την πιθανότητα οι χρήστες να εκτελέσουν άθελά τους το κακόβουλο λογισμικό ενώ προσπαθούν να ανοίξουν αυτό που φαίνεται να είναι ένα νόμιμο έγγραφο.
Πέρα από την αρχική παραβίαση, το worm είναι υπεύθυνο για την εξάπλωση της μόλυνσης σε επιπλέον μη μολυσμένες συσκευές USB. Επίσης, δημιουργεί επιμονή δημιουργώντας προγραμματισμένες εργασίες τόσο για το worm όσο και για τα στοιχεία του stealer.
Προηγμένη αποφυγή και συνεχής εκτέλεση εντολών
Το στοιχείο clipper χρησιμοποιεί WScript και ActiveXObject για άμεση αλληλεπίδραση με το λειτουργικό σύστημα. Για να μειωθεί η πιθανότητα ανίχνευσης, το κακόβουλο λογισμικό ελέγχει τις ενεργές διεργασίες και τερματίζεται εάν εκτελείται η Διαχείριση Εργασιών.
Κατά το τελικό στάδιο εκτέλεσης, ένα μετονομασμένο δυαδικό αρχείο Tor εκκινείται σε ένα κρυφό παράθυρο. Το κακόβουλο λογισμικό δημιουργεί στη συνέχεια ένα μοναδικό αναγνωριστικό θύματος και το καταχωρεί στην απομακρυσμένη υποδομή του. Μετά την καταχώριση, εισέρχεται σε έναν συνεχή βρόχο λειτουργίας, ζητώντας εντολές από τον διακομιστή C2, ενώ παράλληλα παρακολουθεί τα περιεχόμενα του πρόχειρου περίπου κάθε 500 χιλιοστά του δευτερολέπτου.
Εκτός από τη συλλογή δεδομένων πορτοφολιού κρυπτονομισμάτων, φράσεων seed και ιδιωτικών κλειδιών, το κακόβουλο λογισμικό καταγράφει στιγμιότυπα οθόνης και τα μεταφέρει μέσω του δικτύου Tor. Εάν ο διακομιστής C2 απαντήσει με μια εντολή EVAL, ο κώδικας που παρέχεται από τον εισβολέα εκτελείται δυναμικά στο παραβιασμένο σύστημα, επεκτείνοντας σημαντικά τις δυνατότητες της απειλής.
Βασικοί Δείκτες και Αμυντικές Συστάσεις
Συνιστάται στις ομάδες ασφαλείας να επικεντρώνονται σε τεχνικές ανίχνευσης συμπεριφοράς αντί να βασίζονται αποκλειστικά σε στατικές υπογραφές κακόβουλου λογισμικού. Ιδιαίτερη προσοχή θα πρέπει να δίνεται σε ύποπτη δραστηριότητα καταγραφής οθόνης που βασίζεται στο PowerShell και στην ασυνήθιστη χρήση μηχανών δέσμης ενεργειών των Windows, όπως το WScript ή το CScript, για την εκκίνηση βοηθητικών προγραμμάτων, όπως τα curl, cmd.exe, PowerShell ή άλλα μη αναμενόμενα εκτελέσιμα αρχεία.
Τα συνιστώμενα μέτρα προστασίας περιλαμβάνουν:
- Απενεργοποίηση της λειτουργίας AutoRun και AutoPlay για όλα τα αφαιρούμενα μέσα, αποκλεισμός της εκτέλεσης αρχείων LNK από συσκευές USB μέσω αντικειμένων πολιτικής ομάδας (GPO) και περιορισμός της περιττής χρήσης των wscript.exe και cscript.exe.
- Συστήματα παρακολούθησης που χειρίζονται οικονομικές λειτουργίες ή λειτουργίες που σχετίζονται με κρυπτονομίσματα για μη φυσιολογική δραστηριότητα στο πρόχειρο, μη εξουσιοδοτημένη συμπεριφορά καταγραφής οθόνης και ύποπτες επικοινωνίες δικτύου που σχετίζονται με το Tor.
Γιατί αυτή η απειλή ξεχωρίζει
Αυτή η καμπάνια καταδεικνύει την αυξανόμενη πολυπλοκότητα του οικονομικά υποκινούμενου κακόβουλου λογισμικού. Συνδυάζοντας την εξάπλωση σκουληκιών που βασίζεται σε USB, την παραβίαση προχείρου, τις επικοινωνίες που έχουν υποστεί παραμόρφωση μέσω Tor, την εξαγωγή στιγμιότυπων οθόνης και την απομακρυσμένη εκτέλεση κώδικα σε ένα ενιαίο σύνολο εργαλείων, οι χειριστές έχουν δημιουργήσει μια ευέλικτη απειλή ικανή τόσο να κλέψει περιουσιακά στοιχεία κρυπτονομισμάτων όσο και να διατηρήσει μακροπρόθεσμη πρόσβαση σε μολυσμένα συστήματα. Η χρήση υποδομής κρυφών υπηρεσιών περιπλέκει περαιτέρω τις προσπάθειες ανίχνευσης και εξάλειψης, καθιστώντας την προληπτική παρακολούθηση συμπεριφοράς μια κρίσιμη αμυντική στρατηγική.
