„Crypto Clipper“ „Windows“ atakos kampanija
Saugumo tyrėjai atskleidė detales apie sudėtingą „Windows“ pagrindu veikiančią kriptovaliutų kopijavimo operaciją, kuri veikia nuo 2026 m. vasario mėn. Kampanijoje naudojama iškarpų stebėjimo kenkėjiška programa, galinti plisti savarankiškai, ir „Tor“ anonimiškumo tinklas, kad paslėptų savo ryšio infrastruktūrą.
Skirtingai nuo įprastų kenkėjiškų programų, kurios remiasi standartiniais diegimo įrankiais arba viešai prieinamais komandų ir kontrolės (C2) serveriais, ši grėsmė diegia nešiojamą „Tor“ klientą ir visą srautą nukreipia per vietinį SOCKS5 tarpinį serverį. Derindama kriptovaliutų vagystes, duomenų nutekėjimą ir nuotolinio kodo vykdymo galimybes, kenkėjiška programa veikia ne tik kaip kenkėjiška programa, bet ir kaip lengva užpakalinė duru sistema.
Turinys
Kaip veikia „Clipper“ kenkėjiška programa
„Clipper“ kenkėjiška programa sukurta tyliai stebėti aukos iškarpinės veiklą ir perimti į atmintį nukopijuotą slaptą informaciją. Jos pagrindinis tikslas – manipuliuoti kriptovaliutų operacijomis, nustatant su žinomais blokų grandinės formatais susijusius piniginių adresus ir pakeičiant juos užpuoliko kontroliuojamomis alternatyvomis. Dėl to teisėtiems gavėjams skirtos lėšos gali būti nukreiptos be aukos žinios.
Ši kampanija naudoja „Windows Script Host“ ir „ActiveX“ pagrindu veikiančias funkcijas, kad paleistų įterptąjį „Tor“ tarpinį serverį ir susisiektų su paslėptos paslaugos C2 serveriu. Kenkėjiška programa nuolat stebi iškarpinę, fiksuoja ekrano kopijas, vagia su kriptovaliutomis susijusią informaciją ir realiuoju laiku pakeičia piniginių adresus.
USB pagrindu sukurta infekcijos grandinė ir kirminų funkcionalumas
Ataka prasideda nuo kenkėjiškų „Windows“ nuorodų (LNK) failų platinimo per išimamas USB atmintines. Kai auka atidaro vieną iš šių nuorodų, aktyvuojamas kirmino komponentas. Kenkėjiška programa pirmiausia nustato, ar sistema jau užkrėsta, ir atsisiunčia likusią informaciją tik tuo atveju, jei neaptinkama ankstesnės infekcijos.
LNK virusas aktyviai ieško prijungtuose USB įrenginiuose dažniausiai naudojamų dokumentų formatų, įskaitant DOC, XLSX ir PDF failus. Aptikus šiuos failus, jie yra paslepiami ir pakeičiami kenkėjiškais sparčiųjų programų failais su identiškais pavadinimais. Ši apgaulinga technika padidina tikimybę, kad vartotojai netyčia paleis kenkėjišką programą bandydami atidaryti iš pažiūros teisėtą dokumentą.
Be pradinio užkrato, kirminas yra atsakingas už infekcijos platinimą į kitus neužkrėstus USB įrenginius. Jis taip pat užtikrina nuolatinę apsaugą, sukurdamas suplanuotas užduotis tiek kirminui, tiek „vagiančiam“ komponentui.
Išplėstinis vengimas ir nuolatinis komandų vykdymas
„Clipper“ komponentas tiesiogiai sąveikauja su operacine sistema naudodamas „WScript“ ir „ActiveXObject“. Siekdama sumažinti aptikimo tikimybę, kenkėjiška programa tikrina aktyvius procesus ir nutraukia savo veiklą, jei veikia užduočių tvarkyklė.
Paskutinio vykdymo etapo metu paslėptame lange paleidžiamas pervadintas „Tor“ dvejetainis failas. Tuomet kenkėjiška programa sugeneruoja unikalų aukos identifikatorių ir užregistruoja jį savo nuotolinėje infrastruktūroje. Po registracijos ji pereina į nuolatinį veikimo ciklą, apklausdama C2 serverį, ar jame nėra komandų, ir stebėdama iškarpinės turinį maždaug kas 500 milisekundžių.
Be kriptovaliutų piniginės duomenų, pradinių frazių ir privačių raktų rinkimo, kenkėjiška programa fiksuoja ekrano kopijas ir perduoda jas per „Tor“ tinklą. Jei C2 serveris atsako EVAL komanda, užpuoliko pateiktas kodas dinamiškai vykdomas pažeistoje sistemoje, o tai žymiai išplečia grėsmės galimybes.
Pagrindiniai rodikliai ir gynybinės rekomendacijos
Saugumo komandoms patariama sutelkti dėmesį į elgsenos aptikimo metodus, o ne pasikliauti vien statiniais kenkėjiškų programų parašais. Ypatingą dėmesį reikėtų skirti įtartinam „PowerShell“ pagrindu veikiančiam ekrano fiksavimui ir neįprastam „Windows“ scenarijų variklių, tokių kaip „WScript“ ar „CScript“, naudojimui paleisti programas, įskaitant „curl“, „cmd.exe“, „PowerShell“ ar kitus netikėtus vykdomuosius failus.
Rekomenduojamos gynybos priemonės apima:
- Išjungiamos automatinio paleidimo ir automatinio paleidimo funkcijos visose išimamose laikmenose, blokuojamas LNK failų vykdymas iš USB įrenginių naudojant grupės politikos objektus (GPO) ir apribojamas nereikalingas wscript.exe ir cscript.exe naudojimas.
- Stebėjimo sistemos, kurios tvarko finansines ar su kriptovaliuta susijusias operacijas, ieškodamos neįprastos iškarpinės veiklos, neleistino ekrano kopijų veikimo ir įtartino su „Tor“ susijusio tinklo ryšio.
Kodėl ši grėsmė išsiskiria
Ši kampanija demonstruoja vis didėjantį finansiškai motyvuotos kenkėjiškos programinės įrangos rafinuotumą. Sujungdami USB pagrindu veikiančią kirminų plitimą, iškarpinių užgrobimą, „Tor“ užmaskuotą ryšį, ekrano kopijų nutekėjimą ir nuotolinį kodo vykdymą į vieną įrankių rinkinį, operatoriai sukūrė universalią grėsmę, galinčią vogti kriptovaliutų turtą ir išlaikyti ilgalaikę prieigą prie užkrėstų sistemų. Paslėptų paslaugų infrastruktūros naudojimas dar labiau apsunkina aptikimo ir pašalinimo pastangas, todėl proaktyvus elgesio stebėjimas yra svarbi gynybos strategija.
