کمپین حمله به ویندوز با Crypto Clipper

محققان امنیتی جزئیات یک عملیات پیچیده‌ی جمع‌آوری ارزهای دیجیتال مبتنی بر ویندوز را فاش کرده‌اند که از فوریه ۲۰۲۶ فعال بوده است. این کمپین از بدافزارهای نظارت بر کلیپ‌بورد با قابلیت خودانتشاری استفاده می‌کند و از شبکه‌ی ناشناس Tor برای پنهان کردن زیرساخت‌های ارتباطی خود بهره می‌برد.

برخلاف عملیات بدافزارهای مرسوم که به نصب‌کننده‌های استاندارد یا سرورهای فرماندهی و کنترل (C2) که در معرض دید عموم هستند، متکی هستند، این تهدید یک کلاینت قابل حمل Tor را مستقر می‌کند و تمام ترافیک را از طریق یک پروکسی محلی SOCKS5 هدایت می‌کند. این بدافزار با ترکیب سرقت ارزهای دیجیتال، استخراج داده‌ها و قابلیت‌های اجرای کد از راه دور، نه تنها به عنوان یک گیرنده، بلکه به عنوان یک درب پشتی سبک نیز عمل می‌کند.

نحوه عملکرد بدافزار Clipper

بدافزار Clipper طوری طراحی شده است که به طور مخفیانه فعالیت کلیپ‌بورد قربانی را رصد کند و اطلاعات حساس کپی شده در حافظه را رهگیری کند. هدف اصلی آن دستکاری تراکنش‌های ارز دیجیتال با شناسایی آدرس‌های کیف پول مرتبط با فرمت‌های شناخته شده بلاکچین و جایگزینی آنها با جایگزین‌های تحت کنترل مهاجم است. در نتیجه، وجوه در نظر گرفته شده برای گیرندگان قانونی می‌تواند بدون اطلاع قربانی تغییر مسیر داده شود.

این کمپین برای راه‌اندازی یک پروکسی Tor جاسازی‌شده و ارتباط با یک سرور C2 با سرویس پنهان، به Windows Script Host و قابلیت‌های مبتنی بر ActiveX متکی است. این بدافزار به‌طور مداوم کلیپ‌بورد را رصد می‌کند، از صفحه اسکرین‌شات می‌گیرد، اطلاعات مربوط به ارزهای دیجیتال را می‌دزدد و آدرس‌های کیف پول را به‌صورت آنی جایگزین می‌کند.

عملکرد زنجیره آلودگی و کرم مبتنی بر USB

این حمله با توزیع فایل‌های مخرب میانبر ویندوز (LNK) از طریق دستگاه‌های ذخیره‌سازی USB قابل جابجایی آغاز می‌شود. هنگامی که قربانی یکی از این میانبرها را باز می‌کند، یک جزء کرم فعال می‌شود. این بدافزار ابتدا تعیین می‌کند که آیا سیستم قبلاً آلوده شده است یا خیر و تنها در صورتی که هیچ آلودگی قبلی شناسایی نشود، بار داده باقی مانده را دانلود می‌کند.

بار داده LNK به طور فعال دستگاه‌های USB متصل را برای یافتن فرمت‌های رایج اسناد، از جمله فایل‌های DOC، XLSX و PDF جستجو می‌کند. پس از کشف، این فایل‌ها پنهان شده و با فایل‌های میانبر مخرب با نام‌های یکسان جایگزین می‌شوند. این تکنیک فریبنده احتمال اجرای ناآگاهانه بدافزار توسط کاربران را هنگام تلاش برای باز کردن چیزی که به نظر یک سند قانونی می‌رسد، افزایش می‌دهد.

فراتر از نفوذ اولیه، این کرم مسئول گسترش آلودگی به دستگاه‌های USB غیرآلوده دیگر است. همچنین با ایجاد وظایف زمان‌بندی‌شده برای کرم و اجزای دزدگیر، ماندگاری خود را تثبیت می‌کند.

فرار پیشرفته و اجرای مداوم دستورات

مولفه‌ی کلیپر از WScript و ActiveXObject برای تعامل مستقیم با سیستم‌عامل استفاده می‌کند. برای کاهش احتمال شناسایی، این بدافزار فرآیندهای فعال را بررسی می‌کند و در صورت اجرای Task Manager، خود را خاتمه می‌دهد.

در مرحله نهایی اجرا، یک فایل باینری Tor با نام جدید در یک پنجره مخفی اجرا می‌شود. سپس بدافزار یک شناسه منحصر به فرد قربانی تولید کرده و آن را در زیرساخت راه دور خود ثبت می‌کند. پس از ثبت، وارد یک حلقه عملیاتی مداوم می‌شود و همزمان با نظارت بر محتوای کلیپ‌بورد تقریباً هر ۵۰۰ میلی‌ثانیه، از سرور C2 برای دستورات نظرسنجی می‌کند.

این بدافزار علاوه بر جمع‌آوری داده‌های کیف پول ارز دیجیتال، عبارات بازیابی و کلیدهای خصوصی، اسکرین‌شات‌ها را ضبط کرده و از طریق شبکه Tor منتقل می‌کند. اگر سرور C2 با دستور EVAL پاسخ دهد، کد ارائه شده توسط مهاجم به صورت پویا روی سیستم آسیب‌دیده اجرا می‌شود و قابلیت‌های تهدید را به طور قابل توجهی افزایش می‌دهد.

شاخص‌های کلیدی و توصیه‌های دفاعی

به تیم‌های امنیتی توصیه می‌شود که به جای تکیه صرف بر امضاهای استاتیک بدافزار، بر تکنیک‌های تشخیص رفتاری تمرکز کنند. باید توجه ویژه‌ای به فعالیت‌های مشکوک ضبط صفحه نمایش مبتنی بر PowerShell و استفاده غیرمعمول از موتورهای اسکریپت‌نویسی ویندوز مانند WScript یا CScript برای اجرای برنامه‌هایی از جمله curl، cmd.exe، PowerShell یا سایر فایل‌های اجرایی غیرمنتظره داشت.

اقدامات دفاعی توصیه شده عبارتند از:

• غیرفعال کردن قابلیت‌های AutoRun و AutoPlay برای همه رسانه‌های قابل حمل، مسدود کردن اجرای فایل LNK از دستگاه‌های USB از طریق Group Policy Objects (GPOs) و محدود کردن استفاده غیرضروری از wscript.exe و cscript.exe.
• سیستم‌های نظارتی که عملیات مالی یا مرتبط با ارزهای دیجیتال را مدیریت می‌کنند، فعالیت‌های غیرعادی کلیپ‌بورد، رفتار غیرمجاز ضبط صفحه نمایش و ارتباطات مشکوک شبکه‌ای مرتبط با Tor را رصد می‌کنند.

چرا این تهدید برجسته است؟

این کمپین، پیچیدگی روزافزون بدافزارهای با انگیزه مالی را نشان می‌دهد. با ترکیب انتشار کرم مبتنی بر USB، ربودن کلیپ‌بورد، ارتباطات مبهم‌سازی‌شده توسط Tor، استخراج اسکرین‌شات و اجرای کد از راه دور در یک ابزار واحد، اپراتورها یک تهدید همه‌کاره ایجاد کرده‌اند که قادر به سرقت دارایی‌های ارز دیجیتال و حفظ دسترسی بلندمدت به سیستم‌های آلوده است. استفاده از زیرساخت‌های سرویس پنهان، تلاش‌های تشخیص و حذف را پیچیده‌تر می‌کند و نظارت رفتاری پیشگیرانه را به یک استراتژی دفاعی حیاتی تبدیل می‌کند.