Campanie de atac Windows Crypto Clipper
Cercetătorii în domeniul securității au dezvăluit detalii despre o operațiune sofisticată de tip clipper pentru criptomonede, bazată pe Windows, activă din februarie 2026. Campania folosește un malware de monitorizare a clipboard-ului capabil de autopropagare și valorifică rețeaua de anonimat Tor pentru a-și ascunde infrastructura de comunicații.
Spre deosebire de operațiunile malware convenționale care se bazează pe instalatoare standard sau servere Command-and-Control (C2) expuse publicului, această amenințare implementează un client Tor portabil și direcționează tot traficul printr-un proxy SOCKS5 local. Prin combinarea furtului de criptomonede, exfiltrării datelor și capacităților de execuție de cod la distanță, malware-ul funcționează nu doar ca un clipper, ci și ca un backdoor ușor.
Cuprins
Cum funcționează malware-ul Clipper
Malware-ul Clipper este conceput pentru a monitoriza în mod silențios activitatea din clipboard-ul unei victime și pentru a intercepta informațiile sensibile copiate în memorie. Obiectivul său principal este de a manipula tranzacțiile cu criptomonede prin identificarea adreselor de portofel asociate cu formate blockchain cunoscute și înlocuirea acestora cu alternative controlate de atacator. Drept urmare, fondurile destinate destinatarilor legitimi pot fi redirecționate fără știrea victimei.
Această campanie se bazează pe Windows Script Host și funcționalități bazate pe ActiveX pentru a lansa un proxy Tor încorporat și a comunica cu un server C2 cu servicii ascunse. Malware-ul efectuează supraveghere continuă a clipboard-ului, face capturi de ecran, fură informații legate de criptomonede și înlocuiește adresele portofelului în timp real.
Funcționalitate de lanț de infecții și viermi bazate pe USB
Atacul începe cu distribuirea de fișiere Windows Shortcut (LNK) malițioase prin intermediul dispozitivelor de stocare USB amovibile. Când o victimă deschide una dintre aceste scurtături, se activează o componentă de vierme. Programul malware stabilește mai întâi dacă sistemul a fost deja infectat și descarcă sarcina utilă rămasă numai dacă nu este detectată nicio infecție anterioară.
Sarcina utilă LNK caută activ dispozitivele USB conectate în funcție de formatele de documente utilizate în mod obișnuit, inclusiv fișiere DOC, XLSX și PDF. Odată descoperite, aceste fișiere sunt ascunse și înlocuite cu fișiere de comenzi rapide malițioase cu nume identice. Această tehnică înșelătoare crește probabilitatea ca utilizatorii să execute fără să știe malware-ul în timp ce încearcă să deschidă ceea ce pare a fi un document legitim.
Dincolo de compromiterea inițială, viermele este responsabil pentru răspândirea infecției către alte dispozitive USB neinfectate. De asemenea, stabilește persistența prin crearea de sarcini programate atât pentru vierme, cât și pentru componentele care fură virusul.
Evitare avansată și execuție persistentă a comenzilor
Componenta clipper utilizează WScript și ActiveXObject pentru a interacționa direct cu sistemul de operare. Pentru a reduce probabilitatea de detectare, malware-ul verifică procesele active și se închide automat dacă Task Manager rulează.
În etapa finală de execuție, un fișier binar Tor redenumit este lansat într-o fereastră ascunsă. Programul malware generează apoi un identificator unic al victimei și îl înregistrează la infrastructura sa la distanță. După înregistrare, intră într-o buclă operațională continuă, interogând serverul C2 pentru comenzi, monitorizând în același timp conținutul clipboard-ului la aproximativ fiecare 500 de milisecunde.
Pe lângă colectarea datelor din portofelul de criptomonede, a frazelor inițiale și a cheilor private, malware-ul capturează capturi de ecran și le transferă prin rețeaua Tor. Dacă serverul C2 răspunde cu o comandă EVAL, codul furnizat de atacator este executat dinamic pe sistemul compromis, extinzând semnificativ capacitățile amenințării.
Indicatori cheie și recomandări defensive
Echipele de securitate sunt sfătuite să se concentreze pe tehnicile de detectare comportamentală, mai degrabă decât să se bazeze exclusiv pe semnături statice de programe malware. O atenție deosebită trebuie acordată activității suspecte de captură de ecran bazată pe PowerShell și utilizării neobișnuite a motoarelor de scripting Windows, cum ar fi WScript sau CScript, pentru a lansa utilitare precum curl, cmd.exe, PowerShell sau alte executabile neașteptate.
Măsurile defensive recomandate includ:
- Dezactivarea funcționalităților AutoRun și AutoPlay pentru toate suporturile amovibile, blocarea executării fișierelor LNK de pe dispozitivele USB prin intermediul obiectelor de politică de grup (GPO) și limitarea utilizării inutile a wscript.exe și cscript.exe.
- Sisteme de monitorizare care gestionează operațiuni financiare sau legate de criptomonede pentru activități anormale în clipboard, comportamente neautorizate de captură de ecran și comunicații de rețea suspecte legate de Tor.
De ce iese în evidență această amenințare
Această campanie demonstrează sofisticarea tot mai mare a programelor malware cu motivații financiare. Prin combinarea propagării viermilor prin USB, a deturnării clipboard-urilor, a comunicațiilor obfuscate de Tor, a exfiltrării capturilor de ecran și a executării de cod la distanță într-un singur set de instrumente, operatorii au creat o amenințare versatilă capabilă atât să fure active criptomonedare, cât și să mențină accesul pe termen lung la sistemele infectate. Utilizarea infrastructurii de servicii ascunse complică și mai mult eforturile de detectare și eliminare, făcând din monitorizarea proactivă a comportamentului o strategie de apărare critică.
