Ponuda s popustom na više licenci
Baza prijetnji Malware Kampanja napada na Crypto Clipper u Windowsima

Kampanja napada na Crypto Clipper u Windowsima

Do Mezo. Malware, kradljivci. godine
Prevedi na:

Sigurnosni istraživači otkrili su detalje sofisticirane operacije kriptovaluta temeljene na Windowsima koja je aktivna od veljače 2026. Kampanja koristi zlonamjerni softver za praćenje međuspremnika sposoban za samoproširenje i koristi Tor mrežu za anonimnost kako bi prikrila svoju komunikacijsku infrastrukturu.

Za razliku od konvencionalnih operacija zlonamjernog softvera koje se oslanjaju na standardne instalacijske programe ili javno izložene Command-and-Control (C2) poslužitelje, ova prijetnja implementira prijenosni Tor klijent i usmjerava sav promet putem lokalnog SOCKS5 proxyja. Kombinirajući krađu kriptovaluta, eksfiltraciju podataka i mogućnosti udaljenog izvršavanja koda, zlonamjerni softver funkcionira ne samo kao "clipper" već i kao lagani backdoor.

Kako funkcionira zlonamjerni softver Clipper

Zlonamjerni softver Clipper dizajniran je za tiho praćenje aktivnosti žrtve u međuspremniku i presretanje osjetljivih informacija kopiranih u memoriju. Njegov primarni cilj je manipuliranje transakcijama kriptovaluta identificiranjem adresa novčanika povezanih s poznatim blockchain formatima i njihovom zamjenom alternativama koje kontrolira napadač. Kao rezultat toga, sredstva namijenjena legitimnim primateljima mogu se preusmjeriti bez znanja žrtve.

Ova kampanja oslanja se na Windows Script Host i funkcionalnost temeljenu na ActiveX-u za pokretanje ugrađenog Tor proxyja i komunikaciju sa skrivenim C2 poslužiteljem. Zlonamjerni softver provodi kontinuirani nadzor međuspremnika, snima snimke zaslona, krade informacije povezane s kriptovalutama i zamjenjuje adrese novčanika u stvarnom vremenu.

Lanac infekcije i funkcionalnost crva temeljena na USB-u

Napad započinje distribucijom zlonamjernih datoteka Windows prečaca (LNK) putem prijenosnih USB uređaja za pohranu. Kada žrtva otvori jedan od tih prečaca, aktivira se komponenta crva. Zlonamjerni softver prvo utvrđuje je li sustav već zaražen i preuzima preostali sadržaj samo ako nije otkrivena prethodna infekcija.

LNK program aktivno pretražuje povezane USB uređaje tražeći često korištene formate dokumenata, uključujući DOC, XLSX i PDF datoteke. Nakon što se otkriju, te se datoteke skrivaju i zamjenjuju zlonamjernim datotekama prečaca s istim nazivima. Ova prijevarna tehnika povećava vjerojatnost da će korisnici nesvjesno pokrenuti zlonamjerni softver dok pokušavaju otvoriti ono što se čini legitimnim dokumentom.

Osim početne kompromitacije, crv je odgovoran za širenje zaraze na dodatne nezaražene USB uređaje. Također uspostavlja postojanost stvarajući planirane zadatke i za crva i za komponente krađe.

Napredno izbjegavanje i uporno izvršavanje naredbi

Komponenta clipper koristi WScript i ActiveXObject za izravnu interakciju s operativnim sustavom. Kako bi smanjio vjerojatnost otkrivanja, zlonamjerni softver provjerava aktivne procese i završava se ako je pokrenut Upravitelj zadataka.

Tijekom završne faze izvršavanja, preimenovana Tor binarna datoteka pokreće se u skrivenom prozoru. Zlonamjerni softver zatim generira jedinstveni identifikator žrtve i registrira ga na svojoj udaljenoj infrastrukturi. Nakon registracije, ulazi u kontinuiranu operativnu petlju, ispitujući C2 poslužitelj za naredbe dok istovremeno prati sadržaj međuspremnika otprilike svakih 500 milisekundi.

Osim prikupljanja podataka o kriptovalutnim novčanicima, sjemenskih fraza i privatnih ključeva, zlonamjerni softver snima snimke zaslona i prenosi ih putem Tor mreže. Ako C2 poslužitelj odgovori EVAL naredbom, kod koji je naveo napadač dinamički se izvršava na kompromitiranom sustavu, značajno proširujući mogućnosti prijetnje.

Ključni pokazatelji i obrambene preporuke

Sigurnosnim timovima se savjetuje da se usredotoče na tehnike detekcije ponašanja, umjesto da se oslanjaju isključivo na statičke potpise zlonamjernog softvera. Posebnu pozornost treba posvetiti sumnjivim aktivnostima snimanja zaslona temeljenim na PowerShellu i neobičnoj upotrebi Windows skriptnih mehanizama kao što su WScript ili CScript za pokretanje uslužnih programa, uključujući curl, cmd.exe, PowerShell ili druge neočekivane izvršne datoteke.

Preporučene obrambene mjere uključuju:

  • Onemogućavanje funkcionalnosti automatskog pokretanja i automatske reprodukcije za sve izmjenjive medije, blokiranje izvršavanja LNK datoteka s USB uređaja putem objekata grupnih pravila (GPO) i ograničavanje nepotrebne upotrebe wscript.exe i cscript.exe.
  • Sustavi za praćenje financijskih ili kriptovalutnih operacija za abnormalne aktivnosti međuspremnika, neovlašteno snimanje zaslona i sumnjive mrežne komunikacije povezane s Torom.

Zašto se ova prijetnja ističe

Ova kampanja pokazuje sve veću sofisticiranost financijski motiviranog zlonamjernog softvera. Kombiniranjem širenja crva putem USB-a, otmice međuspremnika, komunikacije prikrivene Torom, krađe snimaka zaslona i udaljenog izvršavanja koda u jedan alat, operateri su stvorili svestranu prijetnju sposobnu za krađu kriptovaluta i održavanje dugoročnog pristupa zaraženim sustavima. Korištenje infrastrukture skrivenih usluga dodatno komplicira napore otkrivanja i uklanjanja, čineći proaktivno praćenje ponašanja ključnom obrambenom strategijom.

Povezane objave

APT28 Kampanja napada FrostArmade

Napredna trajna prijetnja (APT), Malware, Krađa identiteta
Sofisticirana operacija kibernetičke špijunaže pripisana ruskoj skupini APT28, poznatoj i kao Forest Blizzard, iskoristila je ranjivu mrežnu infrastrukturu za provođenje nadzora velikih razmjera. Aktivna od najmanje svibnja 2025., kampanja kodnog naziva FrostArmada usredotočila se na kompromitiranje nesigurnih MikroTik i TP-Link usmjerivača, pretvarajući ih u zlonamjernu imovinu pod kontrolom...
Učitavam...