Campagna di attacco Windows tramite Crypto Clipper
Alcuni ricercatori di sicurezza hanno rivelato i dettagli di una sofisticata operazione di clonazione di criptovalute basata su Windows, attiva dal febbraio 2026. La campagna utilizza un malware in grado di monitorare gli appunti e di auto-propagarsi, sfruttando la rete di anonimato Tor per nascondere la propria infrastruttura di comunicazione.
A differenza dei malware convenzionali che si basano su programmi di installazione standard o server di comando e controllo (C2) esposti pubblicamente, questa minaccia distribuisce un client Tor portatile e instrada tutto il traffico attraverso un proxy SOCKS5 locale. Combinando il furto di criptovalute, l'esfiltrazione di dati e la capacità di eseguire codice in remoto, il malware funziona non solo come un programma di sblocco, ma anche come una backdoor leggera.
Sommario
Come funziona il malware Clipper
Il malware Clipper è progettato per monitorare silenziosamente l'attività degli appunti della vittima e intercettare le informazioni sensibili copiate in memoria. Il suo obiettivo principale è manipolare le transazioni di criptovalute identificando gli indirizzi dei portafogli associati a formati blockchain noti e sostituendoli con alternative controllate dall'attaccante. Di conseguenza, i fondi destinati a destinatari legittimi possono essere reindirizzati all'insaputa della vittima.
Questa campagna si basa su Windows Script Host e funzionalità basate su ActiveX per avviare un proxy Tor incorporato e comunicare con un server C2 di servizio nascosto. Il malware esegue una sorveglianza continua degli appunti, acquisisce screenshot, ruba informazioni relative alle criptovalute e sostituisce gli indirizzi dei portafogli in tempo reale.
Catena di infezione e funzionalità worm basate su USB
L'attacco inizia con la distribuzione di file LNK (Windows Shortcut) dannosi tramite dispositivi di archiviazione USB rimovibili. Quando la vittima apre uno di questi collegamenti, si attiva un componente worm. Il malware verifica innanzitutto se il sistema è già infetto e scarica il payload rimanente solo se non viene rilevata alcuna infezione preesistente.
Il payload LNK cerca attivamente nei dispositivi USB collegati i formati di documento più comuni, inclusi i file DOC, XLSX e PDF. Una volta individuati, questi file vengono nascosti e sostituiti con file di collegamento dannosi aventi lo stesso nome. Questa tecnica ingannevole aumenta la probabilità che gli utenti eseguano inconsapevolmente il malware mentre tentano di aprire quello che sembra un documento legittimo.
Oltre alla compromissione iniziale, il worm è responsabile della diffusione dell'infezione ad altri dispositivi USB non infetti. Inoltre, garantisce la persistenza creando attività pianificate sia per il worm stesso che per i componenti che lo rubano.
Elusione avanzata ed esecuzione persistente dei comandi
Il componente Clipper utilizza WScript e ActiveXObject per interagire direttamente con il sistema operativo. Per ridurre la probabilità di rilevamento, il malware controlla i processi attivi e si termina se è in esecuzione Gestione attività.
Durante la fase finale dell'esecuzione, un eseguibile Tor rinominato viene avviato in una finestra nascosta. Il malware genera quindi un identificativo univoco per la vittima e lo registra presso la propria infrastruttura remota. Dopo la registrazione, entra in un ciclo operativo continuo, interrogando il server C2 per ricevere comandi e monitorando il contenuto degli appunti circa ogni 500 millisecondi.
Oltre a raccogliere dati dai portafogli di criptovalute, frasi di recupero e chiavi private, il malware acquisisce screenshot e li trasferisce attraverso la rete Tor. Se il server C2 risponde con un comando EVAL, il codice fornito dall'attaccante viene eseguito dinamicamente sul sistema compromesso, ampliando significativamente le capacità della minaccia.
Indicatori chiave e raccomandazioni difensive
Si consiglia ai team di sicurezza di concentrarsi sulle tecniche di rilevamento comportamentale piuttosto che affidarsi esclusivamente alle firme statiche dei malware. Particolare attenzione dovrebbe essere prestata alle attività sospette di acquisizione dello schermo basate su PowerShell e all'uso insolito di motori di scripting di Windows come WScript o CScript per avviare utilità quali curl, cmd.exe, PowerShell o altri eseguibili inattesi.
Le misure difensive raccomandate includono:
- Disabilitazione delle funzionalità AutoRun e AutoPlay per tutti i supporti rimovibili, blocco dell'esecuzione dei file LNK da dispositivi USB tramite Criteri di gruppo (GPO) e limitazione dell'uso non necessario di wscript.exe e cscript.exe.
- Monitoraggio dei sistemi che gestiscono operazioni finanziarie o relative alle criptovalute per individuare attività anomale negli appunti, comportamenti di acquisizione dello schermo non autorizzati e comunicazioni di rete sospette correlate a Tor.
Perché questa minaccia è particolarmente rilevante
Questa campagna dimostra la crescente sofisticazione dei malware a scopo di lucro. Combinando la propagazione di worm tramite USB, il dirottamento degli appunti, le comunicazioni offuscate da Tor, l'esfiltrazione di screenshot e l'esecuzione di codice remoto in un unico toolkit, gli operatori hanno creato una minaccia versatile in grado sia di rubare criptovalute che di mantenere un accesso a lungo termine ai sistemi infetti. L'utilizzo di infrastrutture di servizi nascosti complica ulteriormente le attività di rilevamento e rimozione, rendendo il monitoraggio proattivo del comportamento una strategia di difesa fondamentale.
