क्रिप्टो क्लिपर विन्डोज आक्रमण अभियान

सुरक्षा अनुसन्धानकर्ताहरूले फेब्रुअरी २०२६ देखि सक्रिय रहेको परिष्कृत विन्डोज-आधारित क्रिप्टोकरेन्सी क्लिपर अपरेशनको विवरणहरू खुलासा गरेका छन्। अभियानले स्व-प्रचार गर्न सक्षम क्लिपबोर्ड-निगरानी मालवेयर प्रयोग गर्दछ र यसको सञ्चार पूर्वाधार लुकाउन टोर गुमनाम नेटवर्कको लाभ उठाउँछ।

मानक स्थापनाकर्ताहरू वा सार्वजनिक रूपमा खुला कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूमा भर पर्ने परम्परागत मालवेयर अपरेशनहरू भन्दा फरक, यो खतराले पोर्टेबल टोर क्लाइन्ट तैनाथ गर्छ र सबै ट्राफिकलाई स्थानीय SOCKS5 प्रोक्सी मार्फत रुट गर्छ। क्रिप्टोकरेन्सी चोरी, डेटा एक्सफिल्टरेशन, र रिमोट कोड कार्यान्वयन क्षमताहरू संयोजन गरेर, मालवेयरले क्लिपरको रूपमा मात्र नभई हल्का ब्याकडोरको रूपमा पनि काम गर्छ।

क्लिपर मालवेयर कसरी सञ्चालन हुन्छ

क्लिपर मालवेयर पीडितको क्लिपबोर्ड गतिविधि चुपचाप निगरानी गर्न र मेमोरीमा प्रतिलिपि गरिएको संवेदनशील जानकारीलाई रोक्नको लागि डिजाइन गरिएको हो। यसको प्राथमिक उद्देश्य ज्ञात ब्लकचेन ढाँचाहरूसँग सम्बन्धित वालेट ठेगानाहरू पहिचान गरेर र आक्रमणकारी-नियन्त्रित विकल्पहरूसँग प्रतिस्थापन गरेर क्रिप्टोकरेन्सी लेनदेनहरूलाई हेरफेर गर्नु हो। फलस्वरूप, वैध प्राप्तकर्ताहरूको लागि लक्षित रकम पीडितको जानकारी बिना पुन: निर्देशित गर्न सकिन्छ।

यो अभियानले एम्बेडेड टोर प्रोक्सी सुरु गर्न र लुकेको सेवा C2 सर्भरसँग सञ्चार गर्न विन्डोज स्क्रिप्ट होस्ट र एक्टिभएक्स-आधारित कार्यक्षमतामा निर्भर गर्दछ। मालवेयरले निरन्तर क्लिपबोर्ड निगरानी गर्दछ, स्क्रिनसटहरू खिच्दछ, क्रिप्टोकरेन्सी-सम्बन्धित जानकारी चोर्छ, र वास्तविक समयमा वालेट ठेगानाहरू प्रतिस्थापन गर्दछ।

USB-आधारित संक्रमण श्रृंखला र किरा कार्यक्षमता

हटाउन सकिने USB भण्डारण उपकरणहरू मार्फत दुर्भावनापूर्ण विन्डोज सर्टकट (LNK) फाइलहरूको वितरणबाट आक्रमण सुरु हुन्छ। जब पीडितले यी सर्टकटहरू मध्ये एक खोल्छ, एक वर्म कम्पोनेन्ट सक्रिय हुन्छ। मालवेयरले पहिले प्रणाली पहिले नै संक्रमित छ कि छैन भनेर निर्धारण गर्दछ र यदि कुनै पहिले संक्रमण पत्ता लागेन भने मात्र बाँकी पेलोड डाउनलोड गर्दछ।

LNK पेलोडले DOC, XLSX, र PDF फाइलहरू सहित सामान्यतया प्रयोग हुने कागजात ढाँचाहरूको लागि जडान गरिएका USB उपकरणहरू सक्रिय रूपमा खोजी गर्दछ। एक पटक पत्ता लागेपछि, यी फाइलहरू लुकाइन्छ र समान नाम भएका दुर्भावनापूर्ण सर्टकट फाइलहरूसँग प्रतिस्थापन गरिन्छ। यो भ्रामक प्रविधिले प्रयोगकर्ताहरूले अनजानमा मालवेयर कार्यान्वयन गर्ने सम्भावना बढाउँछ जबकि वैध कागजात जस्तो देखिने कुरा खोल्ने प्रयास गर्दा।

प्रारम्भिक सम्झौताभन्दा बाहिर, वर्मले थप संक्रमित नभएका USB उपकरणहरूमा संक्रमण फैलाउन जिम्मेवार छ। यसले वर्म र चोरी गर्ने दुवै घटकहरूको लागि निर्धारित कार्यहरू सिर्जना गरेर स्थिरता पनि स्थापित गर्दछ।

उन्नत चोरी र निरन्तर आदेश कार्यान्वयन

क्लिपर कम्पोनेन्टले WScript र ActiveXObject लाई अपरेटिङ सिस्टमसँग प्रत्यक्ष अन्तरक्रिया गर्न प्रयोग गर्छ। पत्ता लगाउने सम्भावना कम गर्न, मालवेयरले सक्रिय प्रक्रियाहरू जाँच गर्छ र यदि टास्क म्यानेजर चलिरहेको छ भने आफैंलाई समाप्त गर्छ।

कार्यान्वयनको अन्तिम चरणमा, लुकेको विन्डोमा पुन: नामाकरण गरिएको टोर बाइनरी सुरु हुन्छ। त्यसपछि मालवेयरले एक अद्वितीय पीडित पहिचानकर्ता उत्पन्न गर्दछ र यसलाई यसको रिमोट पूर्वाधारमा दर्ता गर्दछ। दर्ता पछि, यो निरन्तर सञ्चालन लूपमा प्रवेश गर्दछ, क्लिपबोर्ड सामग्रीहरू लगभग प्रत्येक ५०० मिलिसेकेन्डमा निगरानी गर्दै आदेशहरूको लागि C2 सर्भरमा मतदान गर्दछ।

क्रिप्टोकरेन्सी वालेट डेटा, बीज वाक्यांशहरू, र निजी कुञ्जीहरू सङ्कलन गर्नुको अतिरिक्त, मालवेयरले स्क्रिनसटहरू खिच्छ र तिनीहरूलाई टोर नेटवर्क मार्फत स्थानान्तरण गर्छ। यदि C2 सर्भरले EVAL आदेशको साथ प्रतिक्रिया दिन्छ भने, आक्रमणकारी-आपूर्ति गरिएको कोड सम्झौता गरिएको प्रणालीमा गतिशील रूपमा कार्यान्वयन गरिन्छ, जसले खतराको क्षमताहरूलाई उल्लेखनीय रूपमा विस्तार गर्दछ।

प्रमुख सूचकहरू र रक्षात्मक सिफारिसहरू

सुरक्षा टोलीहरूलाई स्थिर मालवेयर हस्ताक्षरहरूमा मात्र भर पर्नुको सट्टा व्यवहारिक पत्ता लगाउने प्रविधिहरूमा ध्यान केन्द्रित गर्न सल्लाह दिइन्छ। शंकास्पद PowerShell-आधारित स्क्रिन-क्याप्चर गतिविधि र curl, cmd.exe, PowerShell, वा अन्य अप्रत्याशित कार्यान्वयनयोग्यहरू लगायतका उपयोगिताहरू सुरु गर्न WScript वा CScript जस्ता Windows स्क्रिप्टिङ इन्जिनहरूको असामान्य प्रयोगमा विशेष ध्यान दिनुपर्छ।

सिफारिस गरिएका रक्षात्मक उपायहरूमा समावेश छन्:

• सबै हटाउन सकिने मिडियाको लागि AutoRun र AutoPlay कार्यक्षमता असक्षम पार्ने, समूह नीति वस्तुहरू (GPOs) मार्फत USB उपकरणहरूबाट LNK फाइल कार्यान्वयन रोक्ने, र wscript.exe र cscript.exe को अनावश्यक प्रयोग सीमित गर्ने।
• असामान्य क्लिपबोर्ड गतिविधि, अनधिकृत स्क्रिन-क्याप्चर व्यवहार, र शंकास्पद टोर-सम्बन्धित नेटवर्क सञ्चारहरूको लागि वित्तीय वा क्रिप्टोकरेन्सी-सम्बन्धित कार्यहरू ह्यान्डल गर्ने निगरानी प्रणालीहरू।

यो खतरा किन स्पष्ट देखिन्छ?

यो अभियानले आर्थिक रूपमा प्रेरित मालवेयरको बढ्दो परिष्कारलाई प्रदर्शन गर्दछ। USB-आधारित वर्म प्रसार, क्लिपबोर्ड अपहरण, टोर-अस्पष्ट संचार, स्क्रिनसट एक्सफिल्टरेशन, र रिमोट कोड कार्यान्वयनलाई एउटै टुलकिटमा संयोजन गरेर, अपरेटरहरूले क्रिप्टोकरेन्सी सम्पत्तिहरू चोर्न र संक्रमित प्रणालीहरूमा दीर्घकालीन पहुँच कायम राख्न सक्षम बहुमुखी खतरा सिर्जना गरेका छन्। लुकेका-सेवा पूर्वाधारको प्रयोगले पत्ता लगाउने र हटाउने प्रयासहरूलाई अझ जटिल बनाउँछ, जसले सक्रिय व्यवहारिक निगरानीलाई एक महत्वपूर्ण रक्षा रणनीति बनाउँछ।