Кампања напада на Крипто клипер на Windows
Истраживачи безбедности открили су детаље софистициране операције клипера криптовалута засноване на Windows-у која је активна од фебруара 2026. године. Кампања користи злонамерни софтвер за праћење међуспремника способан за самопропагирање и користи Tor мрежу за анонимност како би прикрила своју комуникациону инфраструктуру.
За разлику од конвенционалних операција злонамерног софтвера које се ослањају на стандардне инсталатере или јавно изложене командно-контролне (C2) сервере, ова претња користи преносиви Tor клијент и усмерава сав саобраћај преко локалног SOCKS5 проксија. Комбиновањем крађе криптовалута, извлачења података и могућности даљинског извршавања кода, злонамерни софтвер функционише не само као „клипер“ већ и као лагани „бекдор“.
Преглед садржаја
Како функционише злонамерни софтвер Clipper
Злонамерни софтвер Clipper је дизајниран да тихо прати активност жртве у међуспремнику и пресрета осетљиве информације копиране у меморију. Његов примарни циљ је манипулација трансакцијама криптовалута идентификовањем адреса новчаника повезаних са познатим блокчејн форматима и њиховом заменом алтернативама које контролише нападач. Као резултат тога, средства намењена легитимним примаоцима могу бити преусмерена без знања жртве.
Ова кампања се ослања на Windows Script Host и ActiveX функционалности за покретање уграђеног Tor проксија и комуникацију са C2 сервером скривеног сервиса. Злонамерни софтвер врши континуирани надзор међуспремника, прави снимке екрана, краде информације везане за криптовалуте и замењује адресе новчаника у реалном времену.
Ланац инфекције и функционалност црва заснована на USB-у
Напад почиње дистрибуцијом злонамерних Windows пречица (LNK) датотека путем преносивих USB уређаја за складиштење података. Када жртва отвори једну од ових пречица, активира се компонента црва. Злонамерни софтвер прво утврђује да ли је систем већ заражен и преузима преостали садржај само ако није откривена претходна инфекција.
LNK пакет активно претражује повезане USB уређаје у потрази за често коришћеним форматима докумената, укључујући DOC, XLSX и PDF датотеке. Једном када се открију, ове датотеке се скривају и замењују злонамерним пречицама са идентичним именима. Ова обмањујућа техника повећава вероватноћу да ће корисници несвесно покренути злонамерни софтвер док покушавају да отворе оно што изгледа као легитиман документ.
Поред почетног компромитовања, црв је одговоран за ширење инфекције на додатне неинфициране USB уређаје. Такође успоставља перзистентност креирањем заказаних задатака и за црва и за компоненте крађе.
Напредно избегавање и упорно извршавање команди
Компонента клипера користи WScript и ActiveXObject за директну интеракцију са оперативним системом. Да би смањио вероватноћу откривања, злонамерни софтвер проверава активне процесе и завршава се ако је покренут Менаџер задатака.
Током завршне фазе извршавања, преименовани Tor бинарни фајл се покреће у скривеном прозору. Злонамерни софтвер затим генерише јединствени идентификатор жртве и региструје га на својој удаљеној инфраструктури. Након регистрације, улази у континуирану оперативну петљу, испитујући C2 сервер за команде док прати садржај међуспремника приближно сваких 500 милисекунди.
Поред прикупљања података о криптовалутним новчаницима, сеед фраза и приватних кључева, злонамерни софтвер прави снимке екрана и преноси их преко Тор мреже. Ако Ц2 сервер одговори ЕВАЛ командом, код који је напађач обезбедио се динамички извршава на компромитованом систему, значајно проширујући могућности претње.
Кључни индикатори и одбрамбене препоруке
Безбедносним тимовима се саветује да се фокусирају на технике детекције понашања, уместо да се ослањају искључиво на статичке потписе злонамерног софтвера. Посебну пажњу треба посветити сумњивим активностима снимања екрана заснованим на PowerShell-у и неуобичајеној употреби Windows скриптних механизама као што су WScript или CScript за покретање услужних програма, укључујући curl, cmd.exe, PowerShell или друге неочекиване извршне датотеке.
Препоручене одбрамбене мере укључују:
- Онемогућавање функционалности аутоматског покретања и аутоматске репродукције за све преносиве медије, блокирање извршавања LNK датотека са USB уређаја путем објеката групних смерница (GPO) и ограничавање непотребне употребе wscript.exe и cscript.exe.
- Системи за праћење финансијских или операција везаних за криптовалуте ради праћења абнормалне активности у међуспремнику, неовлашћеног снимања екрана и сумњиве мрежне комуникације повезане са Tor-ом.
Зашто се ова претња истиче
Ова кампања демонстрира све већу софистицираност финансијски мотивисаног злонамерног софтвера. Комбиновањем ширења црва путем УСБ-а, отмице међуспремника, комуникације замагљене Тор-ом, крађе снимака екрана и даљинског извршавања кода у један алат, оператери су створили свестрану претњу способну да украде имовину криптовалута и да одржи дугорочни приступ зараженим системима. Употреба инфраструктуре скривених сервиса додатно компликује напоре за откривање и уклањање, што проактивно праћење понашања чини кључном одбрамбеном стратегијом.
