Crypto Clipper Windows-angrepskampanje
Sikkerhetsforskere har avslørt detaljer om en sofistikert Windows-basert kryptovalutaklipperoperasjon som har vært aktiv siden februar 2026. Kampanjen bruker skadelig programvare som overvåker utklippstavler og er i stand til å spre seg selv, og som utnytter Tor-anonymitetsnettverket for å skjule kommunikasjonsinfrastrukturen.
I motsetning til konvensjonelle skadevareoperasjoner som er avhengige av standard installatører eller offentlig eksponerte kommando-og-kontroll (C2)-servere, distribuerer denne trusselen en bærbar Tor-klient og ruter all trafikk gjennom en lokal SOCKS5-proxy. Ved å kombinere kryptovalutatyveri, datautvinning og fjernutførelse av kode, fungerer skadevaren ikke bare som en klipper, men også som en lett bakdør.
Innholdsfortegnelse
Hvordan Clipper-skadevaren fungerer
Clipper-skadevaren er utviklet for å stille overvåke offerets utklippstavlaktivitet og fange opp sensitiv informasjon som kopieres inn i minnet. Hovedmålet er å manipulere kryptovalutatransaksjoner ved å identifisere lommebokadresser knyttet til kjente blokkjedeformater og erstatte dem med angriperkontrollerte alternativer. Som et resultat kan midler ment for legitime mottakere omdirigeres uten offerets viten.
Denne kampanjen er avhengig av Windows Script Host og ActiveX-basert funksjonalitet for å starte en innebygd Tor-proxy og kommunisere med en C2-server med skjult tjeneste. Skadevaren utfører kontinuerlig utklippstavlovervåking, tar skjermbilder, stjeler kryptovaluta-relatert informasjon og erstatter lommebokadresser i sanntid.
USB-basert infeksjonskjede og ormfunksjonalitet
Angrepet begynner med distribusjon av ondsinnede Windows Shortcut (LNK)-filer via flyttbare USB-lagringsenheter. Når et offer åpner en av disse snarveiene, aktiveres en ormkomponent. Skadevaren avgjør først om systemet allerede er infisert og laster ned den gjenværende nyttelasten bare hvis ingen tidligere infeksjon oppdages.
LNK-nyttelasten søker aktivt etter tilkoblede USB-enheter etter vanlige dokumentformater, inkludert DOC-, XLSX- og PDF-filer. Når disse filene oppdages, skjules de og erstattes med skadelige snarveifiler med identiske navn. Denne villedende teknikken øker sannsynligheten for at brukere uvitende kjører skadevaren mens de prøver å åpne det som ser ut til å være et legitimt dokument.
Utover det første kompromitteret, er ormen ansvarlig for å spre infeksjonen til andre uinfiserte USB-enheter. Den etablerer også utholdenhet ved å opprette planlagte oppgaver for både ormen og stjelerkomponentene.
Avansert unnvikelse og vedvarende kommandoutførelse
Clipper-komponenten bruker WScript og ActiveXObject til å samhandle direkte med operativsystemet. For å redusere sannsynligheten for oppdagelse, sjekker skadevaren aktive prosesser og avslutter seg selv hvis Oppgavebehandling kjører.
I løpet av den siste fasen av kjøringen startes en omdøpt Tor-binærfil i et skjult vindu. Skadevaren genererer deretter en unik offeridentifikator og registrerer den med sin eksterne infrastruktur. Etter registrering går den inn i en kontinuerlig driftsløkke, der den avspør C2-serveren etter kommandoer mens den overvåker innholdet i utklippstavlen omtrent hvert 500. millisekund.
I tillegg til å samle inn kryptovaluta-lommebokdata, såfraser og private nøkler, tar skadevaren skjermbilder og overfører dem via Tor-nettverket. Hvis C2-serveren svarer med en EVAL-kommando, kjøres angriperlevert kode dynamisk på det kompromitterte systemet, noe som utvider trusselens muligheter betydelig.
Nøkkelindikatorer og defensive anbefalinger
Sikkerhetsteam rådes til å fokusere på teknikker for atferdsdeteksjon i stedet for å stole utelukkende på statiske signaturer for skadelig programvare. Spesiell oppmerksomhet bør rettes mot mistenkelig PowerShell-basert skjermbildeaktivitet og uvanlig bruk av Windows-skriptmotorer som WScript eller CScript for å starte verktøy som curl, cmd.exe, PowerShell eller andre uventede kjørbare filer.
Anbefalte forsvarstiltak inkluderer:
- Deaktivering av Autokjør- og Autospill-funksjonalitet for alle flyttbare medier, blokkering av kjøring av LNK-filer fra USB-enheter via gruppepolicyobjekter (GPO-er), og begrensning av unødvendig bruk av wscript.exe og cscript.exe.
- Overvåkingssystemer som håndterer økonomiske eller kryptovalutarelaterte operasjoner for unormal utklippstavleaktivitet, uautorisert skjermbildeatferd og mistenkelig Tor-relatert nettverkskommunikasjon.
Hvorfor denne trusselen skiller seg ut
Denne kampanjen demonstrerer den økende sofistikasjonen av økonomisk motivert skadelig programvare. Ved å kombinere USB-basert ormeforplantning, kapring av utklippstavler, Tor-forvirret kommunikasjon, skjermdumputvinning og ekstern kodekjøring i ett enkelt verktøysett, har operatørene skapt en allsidig trussel som er i stand til både å stjele kryptovaluta-eiendeler og opprettholde langsiktig tilgang til infiserte systemer. Bruken av skjult tjenesteinfrastruktur kompliserer ytterligere deteksjons- og fjerningsarbeidet, noe som gjør proaktiv atferdsovervåking til en kritisk forsvarsstrategi.
