Crypto Clipper Windows-aanvalscampagne
Beveiligingsonderzoekers hebben details onthuld over een geavanceerde, op Windows gebaseerde cryptovaluta-clipperoperatie die sinds februari 2026 actief is. De campagne maakt gebruik van malware die het klembord monitort, zichzelf kan verspreiden en het Tor-anonimiteitsnetwerk gebruikt om de communicatie-infrastructuur te verbergen.
In tegenstelling tot conventionele malware-aanvallen die gebruikmaken van standaard installatieprogramma's of openbaar toegankelijke Command-and-Control (C2)-servers, zet deze dreiging een draagbare Tor-client in en leidt al het verkeer via een lokale SOCKS5-proxy. Door cryptovalutadiefstal, data-exfiltratie en de mogelijkheid tot het uitvoeren van code op afstand te combineren, functioneert de malware niet alleen als een clipper, maar ook als een lichtgewicht backdoor.
Inhoudsopgave
Hoe de Clipper-malware werkt
Clipper-malware is ontworpen om stilletjes de klembordactiviteit van een slachtoffer te monitoren en gevoelige informatie te onderscheppen die naar het geheugen wordt gekopieerd. Het primaire doel is het manipuleren van cryptovalutatransacties door walletadressen te identificeren die gekoppeld zijn aan bekende blockchainformaten en deze te vervangen door alternatieven die door de aanvaller worden beheerd. Hierdoor kunnen fondsen die bestemd zijn voor legitieme ontvangers worden omgeleid zonder dat het slachtoffer het weet.
Deze campagne maakt gebruik van Windows Script Host en ActiveX-functionaliteit om een ingebouwde Tor-proxy te starten en te communiceren met een verborgen C2-server. De malware houdt continu het klembord in de gaten, maakt screenshots, steelt informatie over cryptovaluta en vervangt in realtime walletadressen.
USB-gebaseerde infectieketen en wormfunctionaliteit
De aanval begint met de verspreiding van kwaadaardige Windows-snelkoppelingen (LNK-bestanden) via verwijderbare USB-opslagapparaten. Wanneer een slachtoffer een van deze snelkoppelingen opent, wordt een wormcomponent geactiveerd. De malware controleert eerst of het systeem al geïnfecteerd is en downloadt de rest van de payload alleen als er geen eerdere infectie wordt gedetecteerd.
De LNK-payload scant actief aangesloten USB-apparaten op veelgebruikte documentformaten, waaronder DOC-, XLSX- en PDF-bestanden. Zodra deze bestanden zijn gevonden, worden ze verborgen en vervangen door kwaadaardige snelkoppelingen met dezelfde naam. Deze misleidende techniek vergroot de kans dat gebruikers onbewust de malware uitvoeren wanneer ze een ogenschijnlijk legitiem document proberen te openen.
Naast de initiële inbreuk zorgt de worm ervoor dat de infectie zich verspreidt naar andere, niet-geïnfecteerde USB-apparaten. De worm zorgt ook voor persistentie door geplande taken aan te maken voor zowel de worm zelf als de stealer-componenten.
Geavanceerde ontwijking en aanhoudende uitvoering van bevelen
De clipper-component gebruikt WScript en ActiveXObject om rechtstreeks met het besturingssysteem te communiceren. Om de kans op detectie te verkleinen, controleert de malware actieve processen en beëindigt zichzelf als Taakbeheer actief is.
Tijdens de laatste uitvoeringsfase wordt een hernoemd Tor-binair bestand in een verborgen venster gestart. De malware genereert vervolgens een unieke slachtoffer-ID en registreert deze bij de externe infrastructuur. Na registratie komt de malware in een continue operationele lus terecht, waarbij de C2-server wordt gepolld op commando's en tegelijkertijd de inhoud van het klembord ongeveer elke 500 milliseconden wordt gecontroleerd.
Naast het verzamelen van gegevens uit cryptowallets, seed phrases en privésleutels, maakt de malware ook screenshots en verzendt deze via het Tor-netwerk. Als de C2-server reageert met een EVAL-commando, wordt door de aanvaller aangeleverde code dynamisch uitgevoerd op het gecompromitteerde systeem, waardoor de mogelijkheden van de dreiging aanzienlijk worden uitgebreid.
Kernindicatoren en aanbevelingen ter verdediging
Beveiligingsteams wordt aangeraden zich te richten op gedragsdetectietechnieken in plaats van uitsluitend te vertrouwen op statische malware-signaturen. Bijzondere aandacht moet worden besteed aan verdachte activiteiten met betrekking tot schermopnames via PowerShell en ongebruikelijk gebruik van Windows-scriptengines zoals WScript of CScript om hulpprogramma's te starten, waaronder curl, cmd.exe, PowerShell of andere onverwachte uitvoerbare bestanden.
Aanbevolen verdedigingsmaatregelen zijn onder meer:
- Het uitschakelen van de AutoRun- en AutoPlay-functionaliteit voor alle verwisselbare media, het blokkeren van de uitvoering van LNK-bestanden vanaf USB-apparaten via groepsbeleidsobjecten (GPO's) en het beperken van onnodig gebruik van wscript.exe en cscript.exe.
- Monitoringsystemen die financiële of cryptovaluta-gerelateerde transacties verwerken, detecteren abnormale klembordactiviteit, ongeautoriseerd schermopnamegedrag en verdachte Tor-gerelateerde netwerkcommunicatie.
Waarom deze dreiging opvalt
Deze campagne demonstreert de toenemende verfijning van financieel gemotiveerde malware. Door USB-gebaseerde wormverspreiding, klembordkaping, Tor-versleutelde communicatie, het stelen van screenshots en het uitvoeren van code op afstand te combineren in één toolkit, hebben de daders een veelzijdige dreiging gecreëerd die zowel cryptovaluta kan stelen als langdurige toegang tot geïnfecteerde systemen kan behouden. Het gebruik van verborgen service-infrastructuur bemoeilijkt de detectie en verwijdering ervan, waardoor proactieve gedragsmonitoring een cruciale verdedigingsstrategie is.
