קמפיין התקפת Windows של Crypto Clipper
חוקרי אבטחה חשפו פרטים על מבצע חיתוך מטבעות קריפטוגרפיים מתוחכם מבוסס Windows, הפעיל מאז פברואר 2026. הקמפיין משתמש בתוכנה זדונית לניטור לוחות כתיבה המסוגלים להפיץ את עצמם וממנפת את רשת האנונימיות Tor כדי להסתיר את תשתית התקשורת שלה.
בניגוד לפעולות זדוניות קונבנציונליות המסתמכות על מתקינים סטנדרטיים או שרתי פיקוד ובקרה (C2) שנחשפים לציבור, איום זה פורס לקוח Tor נייד ומנתב את כל התעבורה דרך פרוקסי SOCKS5 מקומי. על ידי שילוב של גניבת קריפטוגרפיה, חילוץ נתונים ויכולות ביצוע קוד מרחוק, הנוזקה מתפקדת לא רק כקוצץ אלא גם כדלת אחורית קלת משקל.
תוכן העניינים
כיצד פועלת תוכנת הזדונית Clipper
נוזקת Clipper נועדה לנטר באופן שקט את פעילות הלוח של הקורבן וליירט מידע רגיש שהועתק לזיכרון. מטרתה העיקרית היא לתמרן עסקאות קריפטוגרפיות על ידי זיהוי כתובות ארנק הקשורות לפורמטים ידועים של בלוקצ'יין והחלפתן בחלופות הנשלטות על ידי התוקף. כתוצאה מכך, כספים המיועדים לנמענים לגיטימיים עלולים להיות מנותבים ללא ידיעת הקורבן.
קמפיין זה מסתמך על Windows Script Host ופונקציונליות מבוססת ActiveX כדי להפעיל פרוקסי Tor מוטמע ולתקשר עם שרת C2 בעל שירות נסתר. הנוזקה מבצעת מעקב רציף אחר לוח הגזירים, לוכדת צילומי מסך, גונבת מידע הקשור למטבעות קריפטוגרפיים ומחליפה כתובות ארנק בזמן אמת.
שרשרת זיהום ופונקציונליות תולעים מבוססת USB
ההתקפה מתחילה בהפצת קבצי קיצור דרך זדוניים של Windows (LNK) דרך התקני אחסון נשלפים ב-USB. כאשר קורבן פותח אחד מקיצורי הדרך הללו, מופעל רכיב תולעת. התוכנה הזדונית קובעת תחילה האם המערכת כבר נדבקה ומורידה את המטען הנותר רק אם לא זוהתה הדבקה קודמת.
מטען ה-LNK מחפש באופן פעיל בהתקני USB מחוברים אחר פורמטים נפוצים של מסמכים, כולל קבצי DOC, XLSX ו-PDF. לאחר גילוי הקבצים, הם מוסתרים ומוחלפים בקבצי קיצור דרך זדוניים הנושאים שמות זהים. טכניקה מטעה זו מגדילה את הסבירות שמשתמשים ירצו את התוכנה הזדונית מבלי דעת בעת ניסיון לפתוח מה שנראה כמסמך לגיטימי.
מעבר לפגיעה הראשונית, התולעת אחראית על הפצת הזיהום להתקני USB נוספים שאינם נגועים. היא גם מביאה עמדות על ידי יצירת משימות מתוזמנות הן לתולעת והן לרכיבי הגניבה.
התחמקות מתקדמת וביצוע פקודות מתמשך
רכיב הקליפר משתמש ב-WScript וב-ActiveXObject כדי לקיים אינטראקציה ישירה עם מערכת ההפעלה. כדי להפחית את הסבירות לגילוי, התוכנה הזדונית בודקת תהליכים פעילים ומסיימת את עצמה אם מנהל המשימות פועל.
בשלב הסופי של הביצוע, קובץ בינארי של Tor ששמו שונה מופעל בחלון נסתר. לאחר מכן, התוכנה הזדונית מייצרת מזהה קורבן ייחודי ורושמת אותו בתשתית המרוחקת שלה. לאחר הרישום, היא נכנסת ללולאת פעולה רציפה, סוקרת את שרת ה-C2 עבור פקודות תוך ניטור תוכן הלוח בערך כל 500 מילישניות.
בנוסף לאיסוף נתוני ארנק קריפטוגרפיים, ביטויי זרע ומפתחות פרטיים, הנוזקה לוכדת צילומי מסך ומעבירה אותם דרך רשת Tor. אם שרת ה-C2 מגיב עם פקודת EVAL, קוד שסופק על ידי התוקף מבוצע באופן דינמי במערכת הנפגעת, מה שמרחיב משמעותית את יכולות האיום.
אינדיקטורים מרכזיים והמלצות הגנתיות
מומלץ לצוותי אבטחה להתמקד בטכניקות לזיהוי התנהגות במקום להסתמך אך ורק על חתימות סטטיות של תוכנות זדוניות. יש להקדיש תשומת לב מיוחדת לפעילות חשודה של לכידת מסך מבוססת PowerShell ולשימוש חריג במנועי סקריפטים של Windows כגון WScript או CScript כדי להפעיל כלי עזר, כולל curl, cmd.exe, PowerShell או קבצי הפעלה בלתי צפויים אחרים.
אמצעי הגנה מומלצים כוללים:
- השבתת פונקציונליות הפעלה אוטומטית והפעלה אוטומטית עבור כל המדיה הנשלפת, חסימת ביצוע קבצי LNK מהתקני USB דרך אובייקטי מדיניות קבוצתית (GPO) והגבלת שימוש מיותר ב-wscript.exe ו-cscript.exe.
- מערכות ניטור המטפלות בפעולות פיננסיות או הקשורות למטבעות קריפטוגרפיים לאיתור פעילות חריגה בלוח הגזירים, התנהגות לא מורשית של לכידת מסך ותקשורת רשת חשודה הקשורה ל-Tor.
מדוע איום זה בולט
קמפיין זה מדגים את התחכום הגובר של תוכנות זדוניות בעלות מוטיבציה כלכלית. על ידי שילוב של הפצת תולעים מבוססות USB, חטיפת לוח כתיבה, תקשורת ערמומית ב-Tor, חילוץ מסך וביצוע קוד מרחוק לתוך ערכת כלים אחת, יצרו המפעילים איום רב-תכליתי המסוגל גם לגנוב נכסי קריפטו וגם לשמור על גישה ארוכת טווח למערכות נגועות. השימוש בתשתית שירותים נסתרים מסבך עוד יותר את מאמצי הגילוי וההסרה, מה שהופך ניטור התנהגותי פרואקטיבי לאסטרטגיית הגנה קריטית.
