Crypto Clipper Windows uzbrukuma kampaņa
Drošības pētnieki ir atklājuši informāciju par sarežģītu Windows balstītu kriptovalūtu apgriešanas operāciju, kas darbojas kopš 2026. gada februāra. Kampaņā tiek izmantota starpliktuves uzraudzības ļaunprogrammatūra, kas spēj pašizplatīties, un tā izmanto Tor anonimitātes tīklu, lai slēptu savu komunikācijas infrastruktūru.
Atšķirībā no tradicionālajām ļaunprogrammatūras darbībām, kas balstās uz standarta instalētājiem vai publiski pieejamiem komandvadības (C2) serveriem, šis apdraudējums izmanto pārnēsājamu Tor klientu un visu datplūsmu novirza caur lokālu SOCKS5 starpniekserveri. Apvienojot kriptovalūtas zādzību, datu eksfiltrāciju un attālinātas koda izpildes iespējas, ļaunprogrammatūra darbojas ne tikai kā ļaunprogrammatūras apgriešanas rīks, bet arī kā viegla aizmugurējā durvju sistēma.
Satura rādītājs
Kā darbojas Clipper ļaunprogrammatūra
Clipper ļaunprogrammatūra ir izstrādāta, lai klusībā uzraudzītu upura starpliktuves aktivitātes un pārtvertu atmiņā kopētu sensitīvu informāciju. Tās galvenais mērķis ir manipulēt ar kriptovalūtas darījumiem, identificējot maku adreses, kas saistītas ar zināmiem blokķēdes formātiem, un aizstājot tās ar uzbrucēja kontrolētām alternatīvām. Tā rezultātā likumīgiem saņēmējiem paredzētie līdzekļi var tikt novirzīti bez upura ziņas.
Šī kampaņa balstās uz Windows Script Host un ActiveX balstītām funkcijām, lai palaistu iegulto Tor starpniekserveri un sazinātos ar slēptā pakalpojuma C2 serveri. Ļaunprogrammatūra veic nepārtrauktu starpliktuves uzraudzību, uzņem ekrānuzņēmumus, zog ar kriptovalūtu saistītu informāciju un reāllaikā aizstāj maku adreses.
USB bāzes infekcijas ķēdes un tārpa funkcionalitāte
Uzbrukums sākas ar ļaunprātīgu Windows saīsņu (LNK) failu izplatīšanu, izmantojot noņemamas USB atmiņas ierīces. Kad upuris atver kādu no šīm saīsnēm, tiek aktivizēts tārpa komponents. Ļaunprogramma vispirms nosaka, vai sistēma jau ir inficēta, un lejupielādē atlikušo vērtumu tikai tad, ja iepriekšēja infekcija netiek konstatēta.
LNK lietderīgā slodze aktīvi meklē pievienotajās USB ierīcēs bieži izmantotus dokumentu formātus, tostarp DOC, XLSX un PDF failus. Pēc atklāšanas šie faili tiek paslēpti un aizstāti ar ļaunprātīgiem saīsņu failiem ar identiskiem nosaukumiem. Šī maldinošā metode palielina iespējamību, ka lietotāji neapzināti izpildīs ļaunprogrammatūru, mēģinot atvērt šķietami likumīgu dokumentu.
Papildus sākotnējam apdraudējumam tārps ir atbildīgs par infekcijas izplatīšanu uz citām neinficētām USB ierīcēm. Tas arī nodrošina pastāvīgu inficēšanos, izveidojot ieplānotus uzdevumus gan tārpa, gan zagļa komponentiem.
Uzlabota izvairīšanās un pastāvīga komandu izpilde
Clipper komponents izmanto WScript un ActiveXObject, lai tieši mijiedarbotos ar operētājsistēmu. Lai samazinātu atklāšanas iespējamību, ļaunprogrammatūra pārbauda aktīvos procesus un pārtrauc darbību, ja darbojas uzdevumu pārvaldnieks.
Izpildes pēdējā posmā slēptā logā tiek palaists pārdēvēts Tor binārais fails. Pēc tam ļaunprogrammatūra ģenerē unikālu upura identifikatoru un reģistrē to attālajā infrastruktūrā. Pēc reģistrācijas tā nonāk nepārtrauktā darbības ciklā, aptaujājot C2 serveri, lai atrastu komandas, vienlaikus aptuveni ik pēc 500 milisekundēm pārraugot starpliktuves saturu.
Papildus kriptovalūtas maka datu, sākuma frāžu un privāto atslēgu ievākšanai ļaunprogrammatūra tver ekrānuzņēmumus un pārsūta tos, izmantojot Tor tīklu. Ja C2 serveris atbild ar EVAL komandu, uzbrucēja piegādātais kods tiek dinamiski izpildīts apdraudētajā sistēmā, ievērojami paplašinot apdraudējuma iespējas.
Galvenie rādītāji un aizsardzības ieteikumi
Drošības komandām ieteicams koncentrēties uz uzvedības noteikšanas metodēm, nevis paļauties tikai uz statiskiem ļaunprogrammatūras parakstiem. Īpaša uzmanība jāpievērš aizdomīgām PowerShell ekrāna tveršanas darbībām un neparastai Windows skriptēšanas dzinēju, piemēram, WScript vai CScript, izmantošanai, lai palaistu utilītprogrammas, tostarp curl, cmd.exe, PowerShell vai citus negaidītus izpildāmos failus.
Ieteicamie aizsardzības pasākumi ietver:
- Automātiskās palaišanas un automātiskās atskaņošanas funkcionalitātes atspējošana visiem noņemamajiem datu nesējiem, LNK failu izpildes bloķēšana no USB ierīcēm, izmantojot grupas politikas objektus (GPO), un nevajadzīgas wscript.exe un cscript.exe lietošanas ierobežošana.
- Uzraudzības sistēmas, kas apstrādā finanšu vai ar kriptovalūtu saistītas operācijas, lai konstatētu neparastu starpliktuves aktivitāti, neatļautu ekrāna tveršanas darbību un aizdomīgu ar Tor saistītu tīkla saziņu.
Kāpēc šis drauds izceļas
Šī kampaņa demonstrē finansiāli motivētas ļaunprogrammatūras pieaugošo sarežģītību. Apvienojot USB bāzētu tārpu izplatīšanu, starpliktuves nolaupīšanu, ar Tor apmulsinātu saziņu, ekrānuzņēmumu eksfiltrāciju un attālinātu koda izpildi vienā rīku komplektā, operatori ir radījuši daudzpusīgu apdraudējumu, kas spēj gan zagt kriptovalūtas aktīvus, gan uzturēt ilgtermiņa piekļuvi inficētām sistēmām. Slēpto pakalpojumu infrastruktūras izmantošana vēl vairāk sarežģī atklāšanas un noņemšanas centienus, padarot proaktīvu uzvedības uzraudzību par kritiski svarīgu aizsardzības stratēģiju.
