Crypto Clipper Windows támadási kampány
Biztonsági kutatók részleteket tártak fel egy kifinomult, Windows-alapú kriptovaluta-levágó műveletről, amely 2026 februárja óta aktív. A kampány vágólap-figyelő, önterjedésre képes rosszindulatú programot használ, és a Tor anonimitási hálózatát használja ki kommunikációs infrastruktúrájának elrejtésére.
A hagyományos, szabványos telepítőkre vagy nyilvánosan elérhető Command-and-Control (C2) szerverekre támaszkodó rosszindulatú programokkal ellentétben ez a fenyegetés egy hordozható Tor klienst telepít, és az összes forgalmat egy helyi SOCKS5 proxyn keresztül irányítja. A kriptovaluta-lopás, az adatlopás és a távoli kódfuttatási képességek kombinálásával a rosszindulatú program nemcsak adatvágóként, hanem könnyű hátsó ajtóként is működik.
Tartalomjegyzék
Hogyan működik a Clipper kártevő?
A Clipper rosszindulatú program célja, hogy csendben figyelje az áldozat vágólapján végzett tevékenységét, és elfogja a memóriába másolt érzékeny információkat. Elsődleges célja a kriptovaluta-tranzakciók manipulálása az ismert blokklánc-formátumokhoz társított tárcacímek azonosításával és a támadó által ellenőrzött alternatívákkal való helyettesítésével. Ennek eredményeként a legitim címzetteknek szánt pénzeszközök az áldozat tudta nélkül átirányíthatók.
Ez a kampány a Windows Script Host és az ActiveX-alapú funkciókra támaszkodik egy beágyazott Tor proxy elindításához és egy rejtett szolgáltatást nyújtó C2 szerverrel való kommunikációhoz. A rosszindulatú program folyamatos vágólap-megfigyelést végez, képernyőképeket készít, kriptovalutákkal kapcsolatos információkat lop, és valós időben helyettesíti a tárcacímeket.
USB-alapú fertőzési lánc és féregfunkciók
A támadás rosszindulatú Windows parancsikonok (LNK) terjesztésével kezdődik cserélhető USB-tárolóeszközökön keresztül. Amikor az áldozat megnyit egy ilyen parancsikont, egy féregkomponens aktiválódik. A rosszindulatú program először megállapítja, hogy a rendszer már fertőzött-e, és csak akkor tölti le a fennmaradó hasznos fájlokat, ha nem észlelt korábbi fertőzést.
Az LNK hasznos adata aktívan keresi a csatlakoztatott USB-eszközökön a gyakran használt dokumentumformátumokat, beleértve a DOC, XLSX és PDF fájlokat. A felfedezés után ezeket a fájlokat elrejti, és azonos nevű rosszindulatú parancsikonfájlokkal helyettesíti. Ez a megtévesztő technika növeli annak valószínűségét, hogy a felhasználók tudtukon kívül végrehajtják a rosszindulatú programot, miközben megpróbálnak megnyitni egy látszólag legitim dokumentumot.
A kezdeti támadáson túl a féreg felelős a fertőzés további, nem fertőzött USB-eszközökre való terjesztéséért. Emellett ütemezett feladatok létrehozásával mind a féreg, mind a tolvaj komponensek számára tartóssá teszi a vírust.
Speciális kitérés és állandó parancsvégrehajtás
A clipper komponens WScript és ActiveXObject használatával közvetlenül kommunikál az operációs rendszerrel. Az észlelés valószínűségének csökkentése érdekében a kártevő ellenőrzi az aktív folyamatokat, és leállítja magát, ha a Feladatkezelő fut.
A végrehajtás utolsó szakaszában egy átnevezett Tor bináris fájl indul el egy rejtett ablakban. A rosszindulatú program ezután egyedi áldozatazonosítót generál, és regisztrálja azt a távoli infrastruktúráján. A regisztráció után egy folyamatos működési ciklusba lép, lekérdezi a C2 szervert a parancsokért, miközben körülbelül 500 milliszekundumként figyeli a vágólap tartalmát.
A kriptovaluta-tárcaadatok, a seed phrase-ek és a privát kulcsok begyűjtése mellett a rosszindulatú program képernyőképeket is rögzít, és azokat a Tor hálózaton keresztül továbbítja. Ha a C2 szerver EVAL paranccsal válaszol, a támadó által biztosított kód dinamikusan végrehajtódik a feltört rendszeren, jelentősen kibővítve a fenyegetés képességeit.
Kulcsfontosságú mutatók és védekező ajánlások
A biztonsági csapatoknak azt tanácsolják, hogy a viselkedésalapú észlelési technikákra összpontosítsanak, ne csak a statikus kártevő-szignatúrákra hagyatkozzanak. Különös figyelmet kell fordítani a gyanús PowerShell-alapú képernyőkép-tevékenységre és a Windows szkriptmotorok, például a WScript vagy a CScript szokatlan használatára olyan segédprogramok elindításához, mint a curl, cmd.exe, PowerShell vagy más váratlan végrehajtható fájlok.
Az ajánlott védekezési intézkedések a következők:
- Az összes cserélhető adathordozó automatikus futtatásának és automatikus lejátszásának letiltása, az LNK fájlok végrehajtásának blokkolása USB-eszközökről csoportházirend-objektumok (GPO-k) segítségével, valamint a wscript.exe és a cscript.exe szükségtelen használatának korlátozása.
- Pénzügyi vagy kriptovalutákkal kapcsolatos műveleteket kezelő rendszerek monitorozása rendellenes vágólap-tevékenység, jogosulatlan képernyőkép-készítési viselkedés és gyanús Tor-ral kapcsolatos hálózati kommunikáció szempontjából.
Miért tűnik ki ez a fenyegetés?
Ez a kampány a pénzügyileg motivált rosszindulatú programok egyre kifinomultabb működését demonstrálja. Az USB-alapú féregterjedés, a vágólap-eltérítés, a Torral titkolt kommunikáció, a képernyőkép-ellopás és a távoli kódfuttatás egyetlen eszközkészletbe való kombinálásával a szolgáltatók egy sokoldalú fenyegetést hoztak létre, amely képes mind kriptovaluta-eszközök ellopására, mind a fertőzött rendszerekhez való hosszú távú hozzáférés fenntartására. A rejtett szolgáltatási infrastruktúra használata tovább bonyolítja az észlelési és eltávolítási erőfeszítéseket, így a proaktív viselkedés-monitorozás kritikus védelmi stratégiává válik.
