Crypto Clipper Windows Attack-kampanj
Säkerhetsforskare har avslöjat detaljer om en sofistikerad Windows-baserad kryptovalutaklippningsoperation som har varit aktiv sedan februari 2026. Kampanjen använder skadlig kod som övervakar urklipp och som kan självsprida sig och utnyttjar anonymitetsnätverket Tor för att dölja sin kommunikationsinfrastruktur.
Till skillnad från konventionella skadliga program som förlitar sig på standardinstallationsprogram eller offentligt exponerade kommando-och-kontrollservrar (C2), använder detta hot en portabel Tor-klient och dirigerar all trafik via en lokal SOCKS5-proxy. Genom att kombinera kryptovalutastöld, dataexfiltrering och fjärrkodexekveringsfunktioner fungerar skadlig programvara inte bara som en klippare utan också som en lätt bakdörr.
Innehållsförteckning
Hur Clipper-skadlig programvara fungerar
Clipper-skadlig programvara är utformad för att tyst övervaka ett offers urklippsaktivitet och fånga upp känslig information som kopierats till minnet. Dess primära mål är att manipulera kryptovalutatransaktioner genom att identifiera plånboksadresser som är associerade med kända blockkedjeformat och ersätta dem med angriparkontrollerade alternativ. Som ett resultat kan pengar avsedda för legitima mottagare omdirigeras utan offrets vetskap.
Denna kampanj förlitar sig på Windows Script Host och ActiveX-baserad funktionalitet för att starta en inbäddad Tor-proxy och kommunicera med en C2-server med dold tjänst. Skadlig programvara utför kontinuerlig urklippsövervakning, tar skärmdumpar, stjäl kryptovalutrelaterad information och ersätter plånboksadresser i realtid.
USB-baserad infektionskedja och maskfunktionalitet
Attacken börjar med distribution av skadliga Windows-genvägsfiler (LNK) via flyttbara USB-lagringsenheter. När ett offer öppnar en av dessa genvägar aktiveras en maskkomponent. Skadlig programvara avgör först om systemet redan har infekterats och laddar ner den återstående nyttolasten endast om ingen tidigare infektion upptäcks.
LNK-nyttolasten söker aktivt igenom anslutna USB-enheter efter vanliga dokumentformat, inklusive DOC-, XLSX- och PDF-filer. När dessa filer upptäcks döljs de och ersätts med skadliga genvägsfiler med identiska namn. Denna vilseledande teknik ökar sannolikheten för att användare omedvetet kör den skadliga programvaran när de försöker öppna vad som verkar vara ett legitimt dokument.
Utöver den initiala komprometten är masken ansvarig för att sprida infektionen till ytterligare oinfekterade USB-enheter. Den etablerar också persistens genom att skapa schemalagda uppgifter för både masken och stöldkomponenterna.
Avancerad undvikande och ihållande kommandokörning
Clipper-komponenten använder WScript och ActiveXObject för att interagera direkt med operativsystemet. För att minska sannolikheten för upptäckt kontrollerar den skadliga programvaran aktiva processer och avslutar sig själv om Aktivitetshanteraren körs.
Under det sista skedet av exekveringen startas en omdöpt Tor-binärfil i ett dolt fönster. Skadlig kod genererar sedan en unik offeridentifierare och registrerar den med sin fjärrinfrastruktur. Efter registreringen går den in i en kontinuerlig driftsloop, där den avsöker C2-servern efter kommandon samtidigt som den övervakar innehållet i urklippet ungefär var 500:e millisekund.
Förutom att samla in kryptovalutaplånboksdata, seedfraser och privata nycklar, tar den skadliga programvaran skärmdumpar och överför dem via Tor-nätverket. Om C2-servern svarar med ett EVAL-kommando körs angriparens kod dynamiskt på det komprometterade systemet, vilket avsevärt utökar hotets kapacitet.
Viktiga indikatorer och defensiva rekommendationer
Säkerhetsteam rekommenderas att fokusera på beteendedetekteringstekniker snarare än att enbart förlita sig på statiska signaturer för skadlig kod. Särskild uppmärksamhet bör ägnas åt misstänkt PowerShell-baserad skärmdumpningsaktivitet och ovanlig användning av Windows-skriptmotorer som WScript eller CScript för att starta verktyg som curl, cmd.exe, PowerShell eller andra oväntade körbara filer.
Rekommenderade försvarsåtgärder inkluderar:
- Inaktiverar AutoRun och AutoPlay-funktioner för alla flyttbara medier, blockerar LNK-filkörning från USB-enheter via grupprincipobjekt (GPO:er) och begränsar onödig användning av wscript.exe och cscript.exe.
- Övervakningssystem som hanterar finansiella eller kryptovalutarelaterade operationer för onormal urklippsaktivitet, obehörigt skärmdumpsbeteende och misstänkt Tor-relaterad nätverkskommunikation.
Varför detta hot sticker ut
Denna kampanj visar den alltmer sofistikerade effekten av ekonomiskt motiverad skadlig kod. Genom att kombinera USB-baserad maskspridning, kapning av urklipp, Tor-förvrängd kommunikation, exfiltrering av skärmdumpar och fjärrkodkörning i en enda verktygslåda har operatörerna skapat ett mångsidigt hot som kan både stjäla kryptovalutatillgångar och upprätthålla långsiktig åtkomst till infekterade system. Användningen av infrastruktur med dolda tjänster komplicerar ytterligare upptäckt och borttagning, vilket gör proaktiv beteendeövervakning till en kritisk försvarsstrategi.
