Kampania ataku na system Windows Crypto Clipper
Badacze ds. bezpieczeństwa ujawnili szczegóły zaawansowanej operacji szyfrowania kryptowalut w systemie Windows, która jest aktywna od lutego 2026 roku. Kampania wykorzystuje złośliwe oprogramowanie monitorujące schowek, zdolne do samoistnego rozprzestrzeniania się, i wykorzystuje anonimową sieć Tor do ukrywania swojej infrastruktury komunikacyjnej.
W przeciwieństwie do konwencjonalnych operacji złośliwego oprogramowania, które opierają się na standardowych instalatorach lub publicznie dostępnych serwerach Command-and-Control (C2), to zagrożenie wdraża przenośnego klienta Tor i kieruje cały ruch przez lokalny serwer proxy SOCKS5. Łącząc w sobie możliwości kradzieży kryptowalut, eksfiltracji danych i zdalnego wykonywania kodu, złośliwe oprogramowanie działa nie tylko jako clipper, ale także jako lekki backdoor.
Spis treści
Jak działa złośliwe oprogramowanie Clipper
Szkodliwe oprogramowanie Clipper zostało zaprojektowane do dyskretnego monitorowania aktywności ofiary w schowku i przechwytywania poufnych informacji kopiowanych do pamięci. Jego głównym celem jest manipulowanie transakcjami kryptowalutowymi poprzez identyfikację adresów portfeli powiązanych ze znanymi formatami blockchain i zastępowanie ich alternatywnymi, kontrolowanymi przez atakującego. W rezultacie środki przeznaczone dla prawowitych odbiorców mogą zostać przekierowane bez wiedzy ofiary.
Ta kampania wykorzystuje funkcjonalność opartą na Windows Script Host i ActiveX do uruchomienia osadzonego proxy Tor i komunikacji z ukrytym serwerem C2. Szkodliwe oprogramowanie stale monitoruje schowek, przechwytuje zrzuty ekranu, kradnie informacje związane z kryptowalutami i podmienia adresy portfeli w czasie rzeczywistym.
Łańcuch infekcji oparty na USB i funkcjonalność robaka
Atak rozpoczyna się od dystrybucji złośliwych plików skrótów systemu Windows (LNK) za pośrednictwem wymiennych nośników USB. Gdy ofiara otwiera jeden z tych skrótów, aktywowany jest komponent robaka. Szkodliwe oprogramowanie najpierw sprawdza, czy system został już zainfekowany i pobiera pozostałą zawartość tylko wtedy, gdy nie wykryje wcześniejszej infekcji.
Szkodliwy ładunek LNK aktywnie przeszukuje podłączone urządzenia USB w poszukiwaniu powszechnie używanych formatów dokumentów, takich jak pliki DOC, XLSX i PDF. Po wykryciu pliki te są ukrywane i zastępowane złośliwymi plikami skrótów o identycznych nazwach. Ta zwodnicza technika zwiększa prawdopodobieństwo, że użytkownicy nieświadomie uruchomią złośliwe oprogramowanie, próbując otworzyć pozornie legalny dokument.
Poza początkowym naruszeniem bezpieczeństwa, robak jest odpowiedzialny za rozprzestrzenianie infekcji na kolejne, niezainfekowane urządzenia USB. Zapewnia również trwałość, tworząc zaplanowane zadania zarówno dla robaka, jak i dla komponentów kradnących.
Zaawansowane unikanie i uporczywe wykonywanie poleceń
Komponent Clipper wykorzystuje WScript i ActiveXObject do bezpośredniej interakcji z systemem operacyjnym. Aby zmniejszyć prawdopodobieństwo wykrycia, złośliwe oprogramowanie sprawdza aktywne procesy i zamyka się, gdy Menedżer zadań jest uruchomiony.
W ostatnim etapie wykonywania, w ukrytym oknie uruchamiany jest plik binarny Tor o zmienionej nazwie. Następnie złośliwe oprogramowanie generuje unikalny identyfikator ofiary i rejestruje go w swojej zdalnej infrastrukturze. Po zarejestrowaniu wchodzi w ciągłą pętlę operacyjną, odpytując serwer C2 o polecenia i monitorując zawartość schowka co około 500 milisekund.
Oprócz gromadzenia danych portfeli kryptowalutowych, fraz początkowych i kluczy prywatnych, złośliwe oprogramowanie przechwytuje zrzuty ekranu i przesyła je przez sieć Tor. Jeśli serwer C2 odpowie poleceniem EVAL, dostarczony przez atakującego kod jest dynamicznie wykonywany w zainfekowanym systemie, znacznie zwiększając możliwości zagrożenia.
Kluczowe wskaźniki i zalecenia obronne
Zespołom ds. bezpieczeństwa zaleca się skupienie się na behawioralnych technikach wykrywania, a nie poleganie wyłącznie na statycznych sygnaturach złośliwego oprogramowania. Szczególną uwagę należy zwrócić na podejrzaną aktywność związaną z przechwytywaniem ekranu w programie PowerShell oraz nietypowe użycie silników skryptowych systemu Windows, takich jak WScript lub CScript, do uruchamiania narzędzi, takich jak curl, cmd.exe, PowerShell lub innych nieoczekiwanych plików wykonywalnych.
Zalecane środki obronne obejmują:
- Wyłączenie funkcji automatycznego uruchamiania i automatycznego odtwarzania dla wszystkich nośników wymiennych, zablokowanie wykonywania plików LNK z urządzeń USB za pośrednictwem obiektów zasad grupy (GPO) oraz ograniczenie niepotrzebnego użycia wscript.exe i cscript.exe.
- Monitorowanie systemów obsługujących operacje finansowe lub związane z kryptowalutami pod kątem nietypowej aktywności schowka, nieautoryzowanego przechwytywania ekranu i podejrzanej komunikacji sieciowej związanej z Tor.
Dlaczego to zagrożenie się wyróżnia
Ta kampania pokazuje rosnącą wyrafinowanie złośliwego oprogramowania motywowanego finansowo. Łącząc rozprzestrzenianie robaków za pośrednictwem USB, przechwytywanie schowka, zaciemnioną komunikację w sieci Tor, eksfiltrację zrzutów ekranu i zdalne wykonywanie kodu w jednym zestawie narzędzi, operatorzy stworzyli wszechstronne zagrożenie, zdolne zarówno do kradzieży aktywów kryptowalutowych, jak i utrzymywania długoterminowego dostępu do zainfekowanych systemów. Wykorzystanie ukrytej infrastruktury dodatkowo komplikuje wykrywanie i likwidację, co sprawia, że proaktywny monitoring behawioralny staje się kluczową strategią obrony.
