Kampanja napada na Windows Crypto Clipper
Varnostni raziskovalci so razkrili podrobnosti o sofisticirani operaciji za odstranjevanje kriptovalut, ki temelji na sistemu Windows in je aktivna od februarja 2026. Kampanja uporablja zlonamerno programsko opremo za spremljanje odložišča, ki se lahko samorazširja, in izkorišča omrežje anonimnosti Tor za prikrivanje svoje komunikacijske infrastrukture.
Za razliko od običajnih operacij zlonamerne programske opreme, ki se zanašajo na standardne namestitvene programe ali javno izpostavljene strežnike Command-and-Control (C2), ta grožnja uporablja prenosni odjemalec Tor in usmerja ves promet prek lokalnega proxyja SOCKS5. Z združevanjem kraje kriptovalut, izbruha podatkov in zmogljivosti oddaljenega izvajanja kode zlonamerna programska oprema ne deluje le kot strižnik, temveč tudi kot lahka zadnja vrata.
Kazalo
Kako deluje zlonamerna programska oprema Clipper
Zlonamerna programska oprema Clipper je zasnovana tako, da tiho spremlja aktivnost žrtve v odložišču in prestreže občutljive podatke, kopirane v pomnilnik. Njen glavni cilj je manipulirati s transakcijami kriptovalut z identifikacijo naslovov denarnic, povezanih z znanimi formati veriženja blokov, in njihovo zamenjavo z alternativami, ki jih nadzoruje napadalec. Posledično se lahko sredstva, namenjena zakonitim prejemnikom, preusmerijo brez vednosti žrtve.
Ta kampanja se za zagon vgrajenega proxyja Tor in komunikacijo s skritim strežnikom C2 zanaša na Windows Script Host in funkcionalnost ActiveX. Zlonamerna programska oprema izvaja neprekinjen nadzor odložišča, zajema posnetke zaslona, krade podatke, povezane s kriptovalutami, in v realnem času nadomešča naslove denarnic.
Veriga okužbe in funkcionalnost črvov na osnovi USB-ja
Napad se začne z distribucijo zlonamernih datotek bližnjic sistema Windows (LNK) prek izmenljivih pomnilniških naprav USB. Ko žrtev odpre eno od teh bližnjic, se aktivira komponenta črva. Zlonamerna programska oprema najprej ugotovi, ali je sistem že okužen, in prenese preostali koristni naboj le, če ni zaznana nobena predhodna okužba.
Programska oprema LNK aktivno išče na priključenih napravah USB pogosto uporabljene oblike dokumentov, vključno z datotekami DOC, XLSX in PDF. Ko so te datoteke odkrite, so skrite in nadomeščene z zlonamernimi bližnjicami z enakimi imeni. Ta zavajajoča tehnika povečuje verjetnost, da bodo uporabniki nevede zagnali zlonamerno programsko opremo, medtem ko bodo poskušali odpreti dokument, ki se zdi legitimen.
Poleg začetne okužbe je črv odgovoren za širjenje okužbe na dodatne neokužene naprave USB. Prav tako vzpostavi vztrajnost z ustvarjanjem načrtovanih opravil tako za črva kot za komponente, ki kradejo viruse.
Napredno izogibanje in vztrajno izvajanje ukazov
Komponenta clipper uporablja WScript in ActiveXObject za neposredno interakcijo z operacijskim sistemom. Da bi zmanjšala verjetnost odkritja, zlonamerna programska oprema preveri aktivne procese in se prekine, če se izvaja upravitelj opravil.
Med zadnjo fazo izvajanja se v skritem oknu zažene preimenovana binarna datoteka Tor. Zlonamerna programska oprema nato ustvari edinstven identifikator žrtve in ga registrira v svoji oddaljeni infrastrukturi. Po registraciji vstopi v neprekinjeno operativno zanko, v kateri približno vsakih 500 milisekund preverja ukaze strežnika C2, hkrati pa spremlja vsebino odložišča.
Poleg zbiranja podatkov o denarnicah s kriptovalutami, semenskih fraz in zasebnih ključev zlonamerna programska oprema zajema tudi posnetke zaslona in jih prenaša prek omrežja Tor. Če strežnik C2 odgovori z ukazom EVAL, se koda, ki jo je posredoval napadalec, dinamično izvede na ogroženem sistemu, kar znatno razširi zmogljivosti grožnje.
Ključni kazalniki in obrambna priporočila
Varnostnim ekipam svetujemo, da se osredotočijo na tehnike vedenjskega zaznavanja in se ne zanašajo zgolj na statične podpise zlonamerne programske opreme. Posebno pozornost je treba nameniti sumljivim dejavnostim zajemanja zaslona, ki temeljijo na PowerShellu, in nenavadni uporabi skriptnih mehanizmov sistema Windows, kot sta WScript ali CScript, za zagon pripomočkov, vključno s curl, cmd.exe, PowerShellom ali drugimi nepričakovanimi izvedljivimi datotekami.
Priporočeni obrambni ukrepi vključujejo:
- Onemogočanje funkcionalnosti samodejnega zagona in samodejnega predvajanja za vse izmenljive medije, blokiranje izvajanja datotek LNK z naprav USB prek objektov skupinskih pravilnikov (GPO) in omejevanje nepotrebne uporabe datotek wscript.exe in cscript.exe.
- Sistemi za spremljanje finančnih ali s kriptovalutami povezanih operacij za odkrivanje nenormalne aktivnosti odložišča, nepooblaščenega zajemanja zaslona in sumljive omrežne komunikacije, povezane s Torom.
Zakaj ta grožnja izstopa
Ta kampanja prikazuje vse večjo prefinjenost finančno motivirane zlonamerne programske opreme. Z združevanjem širjenja črvov prek USB-ja, ugrabitve odložišča, komunikacije, zakrite s Torom, eksfiltracije posnetkov zaslona in oddaljenega izvajanja kode v en sam nabor orodij so operaterji ustvarili vsestransko grožnjo, ki je sposobna tako kraje kriptovalutnih sredstev kot tudi ohranjanja dolgoročnega dostopa do okuženih sistemov. Uporaba infrastrukture skritih storitev še dodatno otežuje prizadevanja za odkrivanje in odstranjevanje, zaradi česar je proaktivno spremljanje vedenja ključna obrambna strategija.
