Атака Crypto Clipper на Windows
Исследователи в области безопасности раскрыли подробности сложной операции по распространению криптовалюты под управлением Windows, которая действовала с февраля 2026 года. В этой кампании используется вредоносное ПО для мониторинга буфера обмена, способное к самораспространению, и используется анонимная сеть Tor для сокрытия своей коммуникационной инфраструктуры.
В отличие от обычных вредоносных программ, использующих стандартные установщики или общедоступные серверы управления и контроля (C2), эта угроза развертывает портативный клиент Tor и направляет весь трафик через локальный SOCKS5-прокси. Сочетая кражу криптовалюты, утечку данных и возможности удаленного выполнения кода, вредоносная программа функционирует не только как клиппер, но и как легковесный бэкдор.
Оглавление
Как работает вредоносная программа Clipper
Вредоносная программа Clipper предназначена для скрытого отслеживания активности в буфере обмена жертвы и перехвата конфиденциальной информации, скопированной в память. Ее основная цель — манипулирование криптовалютными транзакциями путем выявления адресов кошельков, связанных с известными форматами блокчейна, и замены их на альтернативные адреса, контролируемые злоумышленником. В результате средства, предназначенные для законных получателей, могут быть перенаправлены без ведома жертвы.
Эта кампания использует Windows Script Host и функциональность на основе ActiveX для запуска встроенного прокси-сервера Tor и связи со скрытым сервером управления и контроля (C2). Вредоносная программа осуществляет непрерывный мониторинг буфера обмена, делает снимки экрана, крадет информацию, связанную с криптовалютами, и в режиме реального времени подменяет адреса кошельков.
Функциональность цепочки заражения и червей на основе USB
Атака начинается с распространения вредоносных файлов ярлыков Windows (LNK) через съемные USB-накопители. Когда жертва открывает один из таких ярлыков, активируется компонент червя. Вредоносная программа сначала определяет, была ли система уже заражена, и загружает оставшуюся полезную нагрузку только в том случае, если предварительное заражение не обнаружено.
Вредоносная программа LNK активно ищет на подключенных USB-устройствах часто используемые форматы документов, включая файлы DOC, XLSX и PDF. После обнаружения эти файлы скрываются и заменяются вредоносными файлами-ярлыками с идентичными именами. Этот обманный метод повышает вероятность того, что пользователи неосознанно запустят вредоносное ПО, пытаясь открыть документ, который выглядит как легитимный.
Помимо первоначального заражения, червь распространяет инфекцию на другие незаражённые USB-устройства. Он также обеспечивает себе постоянное присутствие в сети, создавая запланированные задачи как для самого червя, так и для компонентов, отвечающих за кражу данных.
Усовершенствованное уклонение и постоянное выполнение команд.
Компонент Clipper использует WScript и ActiveXObject для прямого взаимодействия с операционной системой. Чтобы снизить вероятность обнаружения, вредоносная программа проверяет активные процессы и завершает свою работу, если запущен диспетчер задач.
На заключительном этапе выполнения в скрытом окне запускается переименованный исполняемый файл Tor. Затем вредоносная программа генерирует уникальный идентификатор жертвы и регистрирует его в своей удаленной инфраструктуре. После регистрации она переходит в непрерывный рабочий цикл, опрашивая сервер управления и контроля (C2) на наличие команд, а также отслеживая содержимое буфера обмена примерно каждые 500 миллисекунд.
Помимо сбора данных криптовалютных кошельков, сид-фраз и закрытых ключей, вредоносная программа делает снимки экрана и передает их через сеть Tor. Если сервер управления и контроля отвечает командой EVAL, предоставленный злоумышленником код динамически выполняется в скомпрометированной системе, что значительно расширяет возможности угрозы.
Ключевые показатели и рекомендации по защите
Группам специалистов по безопасности рекомендуется сосредоточиться на методах обнаружения на основе анализа поведения, а не полагаться исключительно на статические сигнатуры вредоносных программ. Особое внимание следует уделить подозрительной активности захвата экрана с помощью PowerShell и необычному использованию механизмов сценариев Windows, таких как WScript или CScript, для запуска утилит, включая curl, cmd.exe, PowerShell или другие неожиданные исполняемые файлы.
Рекомендуемые меры защиты включают:
- Отключение функций автозапуска и автовоспроизведения для всех съемных носителей, блокировка выполнения файлов LNK с USB-устройств с помощью объектов групповой политики (GPO), а также ограничение ненужного использования wscript.exe и cscript.exe.
- Системы мониторинга, обрабатывающие финансовые операции или операции с криптовалютами, на предмет аномальной активности в буфере обмена, несанкционированного захвата экрана и подозрительных сетевых коммуникаций, связанных с Tor.
Почему эта угроза выделяется?
Эта кампания демонстрирует растущую изощренность вредоносного ПО, мотивированного финансовыми интересами. Объединив распространение червей через USB, перехват буфера обмена, обфусцированные коммуникации через Tor, утечку скриншотов и удаленное выполнение кода в единый набор инструментов, операторы создали универсальную угрозу, способную как красть криптовалютные активы, так и поддерживать долгосрочный доступ к зараженным системам. Использование инфраструктуры скрытых сервисов еще больше усложняет обнаружение и удаление вредоносного ПО, что делает проактивный поведенческий мониторинг критически важной стратегией защиты.
