Kempen Serangan Windows Crypto Clipper
Penyelidik keselamatan telah mendedahkan butiran operasi pemotong mata wang kripto berasaskan Windows yang canggih yang telah aktif sejak Februari 2026. Kempen ini menggunakan perisian hasad pemantauan papan klip yang mampu menyebarkan diri dan memanfaatkan rangkaian anonimiti Tor untuk menyembunyikan infrastruktur komunikasinya.
Tidak seperti operasi perisian hasad konvensional yang bergantung pada pemasang standard atau pelayan Perintah dan Kawalan (C2) yang didedahkan secara terbuka, ancaman ini menggunakan klien Tor mudah alih dan menghalakan semua trafik melalui proksi SOCKS5 tempatan. Dengan menggabungkan kecurian mata wang kripto, penapisan data dan keupayaan pelaksanaan kod jauh, perisian hasad ini bukan sahaja berfungsi sebagai penggunting tetapi juga sebagai pintu belakang yang ringan.
Isi kandungan
Cara Perisian Hasad Clipper Beroperasi
Perisian hasad Clipper direka bentuk untuk memantau aktiviti papan klip mangsa secara senyap dan memintas maklumat sensitif yang disalin ke dalam ingatan. Objektif utamanya adalah untuk memanipulasi transaksi mata wang kripto dengan mengenal pasti alamat dompet yang berkaitan dengan format rantaian blok yang diketahui dan menggantikannya dengan alternatif yang dikawal oleh penyerang. Hasilnya, dana yang ditujukan untuk penerima yang sah boleh dialihkan tanpa pengetahuan mangsa.
Kempen ini bergantung pada fungsi berasaskan Windows Script Host dan ActiveX untuk melancarkan proksi Tor terbenam dan berkomunikasi dengan pelayan C2 perkhidmatan tersembunyi. Perisian hasad ini melakukan pengawasan papan klip berterusan, menangkap tangkapan skrin, mencuri maklumat berkaitan mata wang kripto dan menggantikan alamat dompet dalam masa nyata.
Fungsi Rantaian Jangkitan dan Cacing Berasaskan USB
Serangan bermula dengan pengedaran fail Windows Shortcut (LNK) yang berniat jahat melalui peranti storan USB boleh tanggal. Apabila mangsa membuka salah satu pintasan ini, komponen cacing akan diaktifkan. Malware terlebih dahulu menentukan sama ada sistem telah dijangkiti dan memuat turun baki muatan hanya jika tiada jangkitan terdahulu dikesan.
Muatan LNK secara aktif mencari peranti USB yang disambungkan untuk format dokumen yang biasa digunakan, termasuk fail DOC, XLSX dan PDF. Sebaik sahaja ditemui, fail-fail ini disembunyikan dan digantikan dengan fail pintasan berniat jahat yang mempunyai nama yang sama. Teknik yang mengelirukan ini meningkatkan kemungkinan pengguna secara tidak sengaja akan melaksanakan perisian hasad semasa cuba membuka dokumen yang kelihatan sah.
Selain daripada kompromi awal, cecacing ini bertanggungjawab menyebarkan jangkitan ke peranti USB tambahan yang tidak dijangkiti. Ia juga mewujudkan kegigihan dengan mencipta tugasan berjadual untuk kedua-dua cecacing dan komponen pencuri.
Pengelakan Lanjutan dan Pelaksanaan Perintah Berterusan
Komponen clipper menggunakan WScript dan ActiveXObject untuk berinteraksi secara langsung dengan sistem pengendalian. Untuk mengurangkan kemungkinan pengesanan, perisian hasad akan menyemak proses aktif dan menamatkan dirinya sendiri jika Pengurus Tugas sedang berjalan.
Semasa peringkat akhir pelaksanaan, binari Tor yang dinamakan semula dilancarkan dalam tetingkap tersembunyi. Malware kemudiannya menjana pengecam mangsa yang unik dan mendaftarkannya dengan infrastruktur jauhnya. Selepas pendaftaran, ia memasuki gelung operasi berterusan, meninjau pelayan C2 untuk arahan sambil memantau kandungan papan klip kira-kira setiap 500 milisaat.
Selain menuai data dompet mata wang kripto, frasa benih dan kunci peribadi, perisian hasad ini menangkap tangkapan skrin dan memindahkannya melalui rangkaian Tor. Jika pelayan C2 bertindak balas dengan arahan EVAL, kod yang dibekalkan oleh penyerang dilaksanakan secara dinamik pada sistem yang dikompromi, sekali gus mengembangkan keupayaan ancaman dengan ketara.
Petunjuk Utama dan Cadangan Pertahanan
Pasukan keselamatan dinasihatkan untuk memberi tumpuan kepada teknik pengesanan tingkah laku dan bukannya bergantung sepenuhnya pada tandatangan perisian hasad statik. Perhatian khusus harus diberikan kepada aktiviti tangkapan skrin berasaskan PowerShell yang mencurigakan dan penggunaan enjin skrip Windows yang luar biasa seperti WScript atau CScript untuk melancarkan utiliti termasuk curl, cmd.exe, PowerShell atau fail boleh laku lain yang tidak dijangka.
Langkah-langkah pertahanan yang disyorkan termasuk:
- Melumpuhkan fungsi AutoRun dan AutoPlay untuk semua media boleh tanggal, menyekat pelaksanaan fail LNK daripada peranti USB melalui Objek Dasar Kumpulan (GPO) dan mengehadkan penggunaan wscript.exe dan cscript.exe yang tidak perlu.
- Sistem pemantauan yang mengendalikan operasi berkaitan kewangan atau mata wang kripto untuk aktiviti papan klip yang tidak normal, tingkah laku tangkapan skrin yang tidak dibenarkan dan komunikasi rangkaian berkaitan Tor yang mencurigakan.
Mengapa Ancaman Ini Menonjol
Kempen ini menunjukkan peningkatan kecanggihan perisian hasad yang bermotifkan kewangan. Dengan menggabungkan penyebaran cacing berasaskan USB, rampasan papan klip, komunikasi yang dikaburkan oleh Tor, penyusupan tangkapan skrin dan pelaksanaan kod jarak jauh ke dalam satu set alat, pengendali telah mencipta ancaman serba boleh yang mampu mencuri aset mata wang kripto dan mengekalkan akses jangka panjang kepada sistem yang dijangkiti. Penggunaan infrastruktur perkhidmatan tersembunyi merumitkan lagi usaha pengesanan dan penghapusan, menjadikan pemantauan tingkah laku proaktif sebagai strategi pertahanan yang kritikal.
