Fushata e Sulmit të Windows Crypto Clipper
Studiuesit e sigurisë kanë zbuluar detaje të një operacioni të sofistikuar të prerjes së kriptomonedhave të bazuar në Windows që ka qenë aktiv që nga shkurti i vitit 2026. Fushata përdor programe keqdashëse për monitorimin e clipboard-eve të afta për vetëpërhapje dhe shfrytëzon rrjetin e anonimitetit Tor për të fshehur infrastrukturën e tij të komunikimit.
Ndryshe nga operacionet konvencionale të malware-it që mbështeten në instalues standardë ose serverë të ekspozuar publikisht Command-and-Control (C2), ky kërcënim vendos një klient Tor portativ dhe drejton të gjithë trafikun përmes një proxy lokal SOCKS5. Duke kombinuar vjedhjen e kriptomonedhave, nxjerrjen e të dhënave dhe aftësitë e ekzekutimit të kodit në distancë, malware funksionon jo vetëm si një prerës, por edhe si një derë e pasme e lehtë.
Tabela e Përmbajtjes
Si funksionon programi keqdashës Clipper
Malware-i Clipper është projektuar për të monitoruar në heshtje aktivitetin e kujtesës së viktimës dhe për të kapur informacionin e ndjeshëm të kopjuar në memorie. Objektivi i tij kryesor është të manipulojë transaksionet e kriptomonedhave duke identifikuar adresat e portofoleve të lidhura me formatet e njohura të blockchain-it dhe duke i zëvendësuar ato me alternativa të kontrolluara nga sulmuesi. Si rezultat, fondet e destinuara për marrësit legjitimë mund të ridrejtohen pa dijeninë e viktimës.
Kjo fushatë mbështetet në funksionalitetin e Windows Script Host dhe ActiveX për të nisur një proxy të integruar Tor dhe për të komunikuar me një server C2 me shërbim të fshehur. Malware kryen mbikëqyrje të vazhdueshme të clipboard-it, kap pamje të ekranit, vjedh informacione që lidhen me kriptovalutat dhe zëvendëson adresat e portofoleve në kohë reale.
Funksionaliteti i Zinxhirit të Infeksionit dhe Krimbit të Bazuar në USB
Sulmi fillon me shpërndarjen e skedarëve të dëmshëm të shkurtesave të Windows (LNK) përmes pajisjeve të lëvizshme të ruajtjes USB. Kur një viktimë hap një nga këto shkurtesa, aktivizohet një komponent krimbi. Malware së pari përcakton nëse sistemi është infektuar tashmë dhe shkarkon ngarkesën e mbetur vetëm nëse nuk zbulohet ndonjë infeksion i mëparshëm.
Ngarkesa LNK kërkon në mënyrë aktive pajisjet e lidhura USB për formatet e dokumenteve të përdorura zakonisht, duke përfshirë skedarët DOC, XLSX dhe PDF. Pasi zbulohen, këto skedarë fshihen dhe zëvendësohen me skedarë të shkurtër keqdashës që mbajnë emra identikë. Kjo teknikë mashtruese rrit gjasat që përdoruesit të ekzekutojnë pa vetëdije programin keqdashës ndërsa përpiqen të hapin atë që duket të jetë një dokument i ligjshëm.
Përtej kompromentimit fillestar, krimbi është përgjegjës për përhapjen e infeksionit në pajisje USB shtesë të painfektuara. Ai gjithashtu krijon qëndrueshmëri duke krijuar detyra të planifikuara si për krimbin ashtu edhe për komponentët vjedhës.
Shmangie e Avancuar dhe Ekzekutim i Përhershëm i Komandës
Komponenti i "clipper" përdor WScript dhe ActiveXObject për të bashkëvepruar drejtpërdrejt me sistemin operativ. Për të zvogëluar mundësinë e zbulimit, programi keqdashës kontrollon proceset aktive dhe mbyllet nëse "Task Manager" është në punë.
Gjatë fazës së fundit të ekzekutimit, një skedar binar Tor i riemëruar niset në një dritare të fshehur. Malware më pas gjeneron një identifikues unik të viktimës dhe e regjistron atë në infrastrukturën e tij të largët. Pas regjistrimit, ai hyn në një cikël të vazhdueshëm operativ, duke pyetur serverin C2 për komanda ndërsa monitoron përmbajtjen e clipboard-it afërsisht çdo 500 milisekonda.
Përveç mbledhjes së të dhënave të portofolit të kriptomonedhave, frazave fillestare dhe çelësave privatë, malware kap pamje të ekranit dhe i transferon ato përmes rrjetit Tor. Nëse serveri C2 përgjigjet me një komandë EVAL, kodi i furnizuar nga sulmuesi ekzekutohet dinamikisht në sistemin e kompromentuar, duke zgjeruar ndjeshëm aftësitë e kërcënimit.
Treguesit kryesorë dhe rekomandimet mbrojtëse
Ekipet e sigurisë këshillohen të përqendrohen në teknikat e zbulimit të sjelljes në vend që të mbështeten vetëm në nënshkrimet statike të programeve keqdashëse. Vëmendje e veçantë duhet t'i kushtohet aktivitetit të dyshimtë të kapjes së ekranit të bazuar në PowerShell dhe përdorimit të pazakontë të motorëve të skriptimit të Windows si WScript ose CScript për të nisur programe ndihmëse duke përfshirë curl, cmd.exe, PowerShell ose skedarë të tjerë të ekzekutueshëm të papritur.
Masat mbrojtëse të rekomanduara përfshijnë:
- Çaktivizimi i funksionalitetit AutoRun dhe AutoPlay për të gjitha mediat e lëvizshme, bllokimi i ekzekutimit të skedarëve LNK nga pajisjet USB përmes Objekteve të Politikës së Grupit (GPO) dhe kufizimi i përdorimit të panevojshëm të wscript.exe dhe cscript.exe.
- Sisteme monitorimi që merren me operacione financiare ose të lidhura me kriptovalutat për aktivitet jonormal të clipboard-it, sjellje të paautorizuar të kapjes së ekranit dhe komunikime të dyshimta në rrjet të lidhura me Tor.
Pse ky kërcënim bie në sy
Kjo fushatë demonstron sofistikimin në rritje të programeve keqdashëse të motivuara financiarisht. Duke kombinuar përhapjen e krimbave të bazuar në USB, rrëmbimin e clipboard-eve, komunikimet e turbullta nga Tor, nxjerrjen e pamjeve të ekranit dhe ekzekutimin e kodit në distancë në një set të vetëm mjetesh, operatorët kanë krijuar një kërcënim të gjithanshëm të aftë për të vjedhur asetet e kriptomonedhave dhe për të ruajtur aksesin afatgjatë në sistemet e infektuara. Përdorimi i infrastrukturës së shërbimit të fshehur ndërlikon më tej përpjekjet e zbulimit dhe heqjes, duke e bërë monitorimin proaktiv të sjelljes një strategji kritike mbrojtëse.
