Útočná kampaň Crypto Clipper pre Windows
Bezpečnostní výskumníci odhalili podrobnosti o sofistikovanej operácii na znižovanie počtu kryptomien založenej na systéme Windows, ktorá je aktívna od februára 2026. Kampaň využíva malvér monitorujúci schránku schopný samovoľného šírenia a využíva anonymnú sieť Tor na skrytie svojej komunikačnej infraštruktúry.
Na rozdiel od konvenčných operácií malvéru, ktoré sa spoliehajú na štandardné inštalátory alebo verejne dostupné servery Command-and-Control (C2), táto hrozba nasadzuje prenosného klienta Tor a smeruje všetku prevádzku cez lokálny proxy SOCKS5. Kombináciou krádeže kryptomien, exfiltrácie údajov a funkcií vzdialeného spustenia kódu funguje malvér nielen ako „clipper“, ale aj ako ľahký backdoor.
Obsah
Ako funguje malvér Clipper
Malvér Clipper je navrhnutý tak, aby ticho monitoroval aktivitu obete v schránke a zachytával citlivé informácie kopírované do pamäte. Jeho hlavným cieľom je manipulovať s transakciami s kryptomenami identifikáciou adries peňaženiek spojených so známymi blockchainovými formátmi a ich nahradením alternatívami ovládanými útočníkom. V dôsledku toho môžu byť finančné prostriedky určené pre legitímnych príjemcov presmerované bez vedomia obete.
Táto kampaň sa spolieha na funkcie Windows Script Host a ActiveX na spustenie vstavaného proxy servera Tor a komunikáciu so skrytým serverom C2. Malvér vykonáva nepretržitý dohľad nad schránkou, zachytáva snímky obrazovky, kradne informácie súvisiace s kryptomenami a v reálnom čase nahrádza adresy peňaženiek.
Funkcia infekčného reťazca a červov založená na USB
Útok začína distribúciou škodlivých súborov Windows Shortcut (LNK) prostredníctvom vymeniteľných úložných zariadení USB. Keď obeť otvorí jeden z týchto odkazov, aktivuje sa komponent červa. Škodlivý softvér najprv zistí, či už bol systém infikovaný, a zostávajúce užitočné dáta si stiahne iba v prípade, že sa predtým nezistila žiadna infekcia.
Úžitková dáta LNK aktívne vyhľadávajú na pripojených zariadeniach USB bežne používané formáty dokumentov vrátane súborov DOC, XLSX a PDF. Po odhalení sú tieto súbory skryté a nahradené škodlivými súbormi skratiek s rovnakými názvami. Táto klamlivá technika zvyšuje pravdepodobnosť, že používatelia nevedomky spustia malvér pri pokuse o otvorenie dokumentu, ktorý sa javí ako legitímny.
Okrem počiatočnej kompromitácie je červ zodpovedný za šírenie infekcie na ďalšie neinfikované USB zariadenia. Taktiež zabezpečuje trvalosť vytváraním plánovaných úloh pre červa aj komponenty stealer.
Pokročilé úniky a trvalé vykonávanie príkazov
Komponent Clipper využíva WScript a ActiveXObject na priamu interakciu s operačným systémom. Aby sa znížila pravdepodobnosť detekcie, malvér kontroluje aktívne procesy a ukončí sa, ak je spustený Správca úloh.
Počas záverečnej fázy vykonávania sa v skrytom okne spustí premenovaný binárny súbor Tor. Malvér potom vygeneruje jedinečný identifikátor obete a zaregistruje ho vo svojej vzdialenej infraštruktúre. Po registrácii vstúpi do nepretržitej operačnej slučky, v ktorej sa dotazuje na server C2 a vyhľadáva príkazy, pričom približne každých 500 milisekúnd monitoruje obsah schránky.
Okrem zhromažďovania údajov z kryptomenových peňaženiek, seed fráz a súkromných kľúčov malvér zachytáva snímky obrazovky a prenáša ich cez sieť Tor. Ak server C2 odpovie príkazom EVAL, kód dodaný útočníkom sa dynamicky vykoná na napadnutom systéme, čím sa výrazne rozšíria možnosti hrozby.
Kľúčové ukazovatele a obranné odporúčania
Bezpečnostným tímom sa odporúča, aby sa zamerali na techniky behaviorálnej detekcie, a nie aby sa spoliehali výlučne na statické podpisy škodlivého softvéru. Osobitná pozornosť by sa mala venovať podozrivej aktivite snímania obrazovky pomocou PowerShellu a nezvyčajnému používaniu skriptovacích nástrojov systému Windows, ako sú WScript alebo CScript, na spúšťanie nástrojov vrátane curl, cmd.exe, PowerShellu alebo iných neočakávaných spustiteľných súborov.
Odporúčané obranné opatrenia zahŕňajú:
- Zakázanie funkcií automatického spúšťania a automatického prehrávania pre všetky vymeniteľné médiá, blokovanie spúšťania súborov LNK zo zariadení USB prostredníctvom objektov skupinovej politiky (GPO) a obmedzenie zbytočného používania súborov wscript.exe a cscript.exe.
- Monitorovacie systémy, ktoré spracovávajú finančné alebo kryptomenové operácie, zobrazujú abnormálnu aktivitu v schránke, neoprávnené správanie pri snímaní obrazovky a podozrivú sieťovú komunikáciu súvisiacu s Tor.
Prečo táto hrozba vyniká
Táto kampaň demonštruje rastúcu sofistikovanosť finančne motivovaného malvéru. Kombináciou šírenia červov cez USB, únosu schránky, komunikácie zahalenej pomocou Toru, exfiltrácie snímok obrazovky a vzdialeného spustenia kódu do jednej sady nástrojov vytvorili operátori všestrannú hrozbu schopnú kradnúť kryptomenové aktíva a zároveň si udržiavať dlhodobý prístup k infikovaným systémom. Používanie infraštruktúry skrytých služieb ďalej komplikuje úsilie o detekciu a odstraňovanie, čím sa proaktívne monitorovanie správania stáva kritickou obrannou stratégiou.
