బహుళ-లైసెన్స్ తగ్గింపు కోట్
బెదిరింపు డేటాబేస్ మాల్వేర్ క్రిప్టో క్లిప్పర్ విండోస్ దాడి ప్రచారం

క్రిప్టో క్లిప్పర్ విండోస్ దాడి ప్రచారం

మాల్వేర్, దొంగలులో Mezo నాటికి
దీనికి అనువదించండి:

ఫిబ్రవరి 2026 నుండి చురుకుగా ఉన్న ఒక అధునాతన విండోస్ ఆధారిత క్రిప్టోకరెన్సీ క్లిప్పర్ ఆపరేషన్ వివరాలను భద్రతా పరిశోధకులు వెల్లడించారు. ఈ ప్రచారం, స్వయంగా వ్యాప్తి చెందగల క్లిప్‌బోర్డ్-పర్యవేక్షణ మాల్వేర్‌ను ఉపయోగిస్తుంది మరియు దాని కమ్యూనికేషన్ మౌలిక సదుపాయాలను దాచడానికి టోర్ అనామక నెట్‌వర్క్‌ను ఉపయోగించుకుంటుంది.

ప్రామాణిక ఇన్‌స్టాలర్‌లు లేదా బహిరంగంగా అందుబాటులో ఉండే కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌లపై ఆధారపడే సాంప్రదాయ మాల్వేర్ కార్యకలాపాల వలె కాకుండా, ఈ ముప్పు ఒక పోర్టబుల్ టోర్ క్లయింట్‌ను మోహరించి, మొత్తం ట్రాఫిక్‌ను ఒక స్థానిక SOCKS5 ప్రాక్సీ ద్వారా మళ్లిస్తుంది. క్రిప్టోకరెన్సీ దొంగతనం, డేటా బహిష్కరణ, మరియు రిమోట్ కోడ్ ఎగ్జిక్యూషన్ సామర్థ్యాలను కలపడం ద్వారా, ఈ మాల్వేర్ కేవలం ఒక క్లిప్పర్‌గా మాత్రమే కాకుండా, ఒక తేలికపాటి బ్యాక్‌డోర్‌గా కూడా పనిచేస్తుంది.

క్లిప్పర్ మాల్వేర్ ఎలా పనిచేస్తుంది

క్లిప్పర్ మాల్వేర్, బాధితుని క్లిప్‌బోర్డ్ కార్యకలాపాలను నిశ్శబ్దంగా పర్యవేక్షించడానికి మరియు మెమరీలోకి కాపీ చేయబడిన సున్నితమైన సమాచారాన్ని అడ్డగించడానికి రూపొందించబడింది. తెలిసిన బ్లాక్‌చెయిన్ ఫార్మాట్‌లతో అనుబంధించబడిన వాలెట్ చిరునామాలను గుర్తించి, వాటి స్థానంలో దాడి చేసేవారి నియంత్రణలో ఉన్న ప్రత్యామ్నాయాలను ఉంచడం ద్వారా క్రిప్టోకరెన్సీ లావాదేవీలను తారుమారు చేయడమే దీని ప్రాథమిక లక్ష్యం. ఫలితంగా, చట్టబద్ధమైన గ్రహీతలకు ఉద్దేశించిన నిధులను బాధితునికి తెలియకుండానే దారి మళ్లించవచ్చు.

ఈ క్యాంపెయిన్, ఒక ఎంబెడెడ్ టోర్ ప్రాక్సీని ప్రారంభించడానికి మరియు ఒక హిడెన్-సర్వీస్ C2 సర్వర్‌తో కమ్యూనికేట్ చేయడానికి, విండోస్ స్క్రిప్ట్ హోస్ట్ మరియు యాక్టివ్‌ఎక్స్-ఆధారిత ఫంక్షనాలిటీపై ఆధారపడుతుంది. ఈ మాల్వేర్ నిరంతరం క్లిప్‌బోర్డ్‌ను పర్యవేక్షిస్తుంది, స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేస్తుంది, క్రిప్టోకరెన్సీకి సంబంధించిన సమాచారాన్ని దొంగిలిస్తుంది మరియు రియల్ టైమ్‌లో వాలెట్ చిరునామాలను మారుస్తుంది.

USB-ఆధారిత ఇన్ఫెక్షన్ గొలుసు మరియు వార్మ్ కార్యాచరణ

తొలగించగల USB స్టోరేజ్ పరికరాల ద్వారా హానికరమైన విండోస్ షార్ట్‌కట్ (LNK) ఫైల్‌లను పంపిణీ చేయడంతో ఈ దాడి మొదలవుతుంది. బాధితుడు ఈ షార్ట్‌కట్‌లలో ఒకదాన్ని తెరిచినప్పుడు, ఒక వార్మ్ భాగం యాక్టివేట్ అవుతుంది. ఈ మాల్వేర్ మొదట సిస్టమ్‌కు ఇదివరకే ఇన్ఫెక్షన్ సోకిందో లేదో నిర్ధారిస్తుంది మరియు ముందస్తు ఇన్ఫెక్షన్ ఏదీ కనుగొనబడకపోతే మాత్రమే మిగిలిన పేలోడ్‌ను డౌన్‌లోడ్ చేస్తుంది.

LNK పేలోడ్, కనెక్ట్ చేయబడిన USB పరికరాలలో DOC, XLSX, మరియు PDF ఫైళ్లతో సహా సాధారణంగా ఉపయోగించే డాక్యుమెంట్ ఫార్మాట్‌ల కోసం చురుకుగా శోధిస్తుంది. వాటిని కనుగొన్న తర్వాత, ఈ ఫైళ్లు దాచిపెట్టబడి, అవే పేర్లతో ఉన్న హానికరమైన షార్ట్‌కట్ ఫైళ్లతో భర్తీ చేయబడతాయి. ఈ మోసపూరిత పద్ధతి, చట్టబద్ధమైనదిగా కనిపించే డాక్యుమెంట్‌ను తెరవడానికి ప్రయత్నిస్తున్నప్పుడు వినియోగదారులు తెలియకుండానే మాల్వేర్‌ను అమలు చేసే అవకాశాన్ని పెంచుతుంది.

ప్రాథమిక రాజీ తర్వాత, అదనపు సోకని USB పరికరాలకు ఇన్ఫెక్షన్‌ను వ్యాప్తి చేయడానికి ఈ వార్మ్ బాధ్యత వహిస్తుంది. ఇది వార్మ్ మరియు స్టీలర్ భాగాల రెండింటికీ షెడ్యూల్డ్ టాస్క్‌లను సృష్టించడం ద్వారా నిలకడను కూడా ఏర్పరుస్తుంది.

అధునాతన తప్పించుకోవడం మరియు నిరంతర ఆదేశ అమలు

క్లిప్పర్ కాంపోనెంట్ ఆపరేటింగ్ సిస్టమ్‌తో నేరుగా సంభాషించడానికి WScript మరియు ActiveXObjectలను ఉపయోగిస్తుంది. పట్టుబడే అవకాశాన్ని తగ్గించడానికి, ఈ మాల్వేర్ యాక్టివ్ ప్రాసెస్‌లను తనిఖీ చేస్తుంది మరియు టాస్క్ మేనేజర్ నడుస్తుంటే తనను తాను ముగించుకుంటుంది.

అమలు యొక్క చివరి దశలో, పేరు మార్చబడిన టోర్ బైనరీ ఒక రహస్య విండోలో ప్రారంభించబడుతుంది. ఆ తర్వాత మాల్వేర్ ఒక ప్రత్యేకమైన బాధితుడి గుర్తింపు సంఖ్యను సృష్టించి, దానిని తన రిమోట్ ఇన్‌ఫ్రాస్ట్రక్చర్‌తో నమోదు చేసుకుంటుంది. నమోదు చేసుకున్న తర్వాత, అది నిరంతర కార్యాచరణ లూప్‌లోకి ప్రవేశిస్తుంది, దాదాపు ప్రతి 500 మిల్లీసెకన్లకు క్లిప్‌బోర్డ్ కంటెంట్‌లను పర్యవేక్షిస్తూ, ఆదేశాల కోసం C2 సర్వర్‌ను పోల్ చేస్తుంది.

క్రిప్టోకరెన్సీ వాలెట్ డేటా, సీడ్ ఫ్రేజ్‌లు మరియు ప్రైవేట్ కీలను సేకరించడంతో పాటు, ఈ మాల్వేర్ స్క్రీన్‌షాట్‌లను తీసి వాటిని టోర్ నెట్‌వర్క్ ద్వారా బదిలీ చేస్తుంది. ఒకవేళ C2 సర్వర్ EVAL కమాండ్‌తో స్పందిస్తే, హ్యాక్ చేయబడిన సిస్టమ్‌పై దాడి చేసేవారు అందించిన కోడ్ డైనమిక్‌గా అమలు చేయబడుతుంది, ఇది ఆ ముప్పు యొక్క సామర్థ్యాలను గణనీయంగా పెంచుతుంది.

కీలక సూచికలు మరియు రక్షణ సిఫార్సులు

భద్రతా బృందాలు కేవలం స్టాటిక్ మాల్వేర్ సిగ్నేచర్‌లపై ఆధారపడకుండా, ప్రవర్తనా గుర్తింపు పద్ధతులపై దృష్టి పెట్టాలని సూచించబడింది. అనుమానాస్పద పవర్‌షెల్ ఆధారిత స్క్రీన్-క్యాప్చర్ కార్యకలాపాలపై మరియు curl, cmd.exe, పవర్‌షెల్ లేదా ఇతర ఊహించని ఎగ్జిక్యూటబుల్స్ వంటి యుటిలిటీలను ప్రారంభించడానికి WScript లేదా CScript వంటి విండోస్ స్క్రిప్టింగ్ ఇంజిన్‌ల అసాధారణ వాడకంపై ప్రత్యేక శ్రద్ధ వహించాలి.

సిఫార్సు చేయబడిన రక్షణ చర్యలు:

  • అన్ని తొలగించగల మీడియా కోసం ఆటోరన్ మరియు ఆటోప్లే కార్యాచరణను నిలిపివేయడం, గ్రూప్ పాలసీ ఆబ్జెక్ట్‌ల (GPOలు) ద్వారా USB పరికరాల నుండి LNK ఫైల్ అమలును నిరోధించడం మరియు wscript.exe మరియు cscript.exe యొక్క అనవసరమైన వాడకాన్ని పరిమితం చేయడం.
  • అసాధారణ క్లిప్‌బోర్డ్ కార్యకలాపాలు, అనధికారిక స్క్రీన్-క్యాప్చర్ ప్రవర్తన మరియు అనుమానాస్పద టోర్-సంబంధిత నెట్‌వర్క్ కమ్యూనికేషన్‌ల కోసం ఆర్థిక లేదా క్రిప్టోకరెన్సీ-సంబంధిత కార్యకలాపాలను నిర్వహించే వ్యవస్థలను పర్యవేక్షించడం.

ఈ ముప్పు ఎందుకు ప్రత్యేకంగా నిలుస్తుంది

ఈ ప్రచారం, ఆర్థిక ప్రేరణతో కూడిన మాల్వేర్ యొక్క పెరుగుతున్న సంక్లిష్టతను ప్రదర్శిస్తుంది. USB-ఆధారిత వార్మ్ వ్యాప్తి, క్లిప్‌బోర్డ్ హైజాకింగ్, టోర్-అస్పష్టమైన కమ్యూనికేషన్‌లు, స్క్రీన్‌షాట్ బహిష్కరణ మరియు రిమోట్ కోడ్ ఎగ్జిక్యూషన్‌లను ఒకే టూల్‌కిట్‌గా కలపడం ద్వారా, ఆపరేటర్లు క్రిప్టోకరెన్సీ ఆస్తులను దొంగిలించడం మరియు సోకిన సిస్టమ్‌లకు దీర్ఘకాలిక ప్రాప్యతను కొనసాగించడం రెండింటికీ సామర్థ్యం గల బహుముఖ ముప్పును సృష్టించారు. హిడెన్-సర్వీస్ ఇన్‌ఫ్రాస్ట్రక్చర్ వాడకం, గుర్తించడం మరియు తొలగించే ప్రయత్నాలను మరింత క్లిష్టతరం చేస్తుంది, దీనివల్ల చురుకైన ప్రవర్తనా పర్యవేక్షణ ఒక కీలకమైన రక్షణ వ్యూహంగా మారుతుంది.

సంబంధిత పోస్ట్లు

APT28 ఫ్రాస్ట్ ఆర్మాడా దాడి ప్రచారం

అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT), మాల్వేర్, ఫిషింగ్
రష్యాతో సంబంధం ఉన్న APT28 (ఫారెస్ట్ బ్లిజార్డ్ అని కూడా పిలుస్తారు) అనే ముప్పు సమూహానికి ఆపాదించబడిన ఒక అధునాతన సైబర్ గూఢచర్య ఆపరేషన్, భారీ ఎత్తున నిఘా పెట్టడానికి బలహీనమైన నెట్‌వర్క్ మౌలిక సదుపాయాలను ఉపయోగించుకుంది. కనీసం మే 2025 నుండి చురుకుగా ఉన్న ఈ దాడి, ఫ్రాస్ట్‌ఆర్మాడా అనే సంకేతనామంతో పిలువబడుతూ, అసురక్షితమైన మైక్రోటిక్ మరియు TP-లింక్ రౌటర్లను హ్యాక్ చేసి, వాటిని దాడి చేసేవారి నియంత్రణలో...

పర్పుల్ బ్రావో దాడి ప్రచారం

మాల్వేర్, అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT)
థ్రెట్ ఇంటెలిజెన్స్ విశ్లేషకులు కాంటాజియస్ ఇంటర్వ్యూ ప్రచారం యొక్క లక్ష్యాలకు అనుసంధానించబడిన 3,136 వ్యక్తిగత IP చిరునామాలను గుర్తించారు. ఈ ఆపరేషన్‌లో కృత్రిమ మేధస్సు, క్రిప్టోకరెన్సీ, ఆర్థిక...

మెడుసా రాన్సమ్‌వేర్ దాడి ప్రచారం

అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT), Ransomware
ఉత్తర కొరియాతో సంబంధం ఉన్న బెదిరింపు సంస్థ లాజరస్ గ్రూప్, డైమండ్ స్లీట్ మరియు పాంపిలస్ అని కూడా పిలువబడుతుంది, మధ్యప్రాచ్యంలోని ఒక పేరులేని సంస్థపై దాడిలో మెడుసా రాన్సమ్‌వేర్‌ను ప్రయోగిస్తున్నట్లు గమనించబడింది. యునైటెడ్ స్టేట్స్‌లోని ఒక ఆరోగ్య సంరక్షణ సంస్థను లక్ష్యంగా చేసుకుని అదే సంస్థల విఫలమైన చొరబాటు ప్రయత్నాన్ని భద్రతా పరిశోధకులు గుర్తించారు. మెడుసా రాన్సమ్‌వేర్-యాజ్-ఎ-సర్వీస్ (RaaS) మోడల్...

వెబ్ స్కిమ్మింగ్ అటాక్ ప్రచారం

రోగ్ వెబ్‌సైట్‌లు
సైబర్ సెక్యూరిటీ పరిశోధకులు జనవరి 2022 నుండి యాక్టివ్‌గా ఉన్న ఒక పెద్ద ఎత్తున వెబ్ స్కిమ్మింగ్ ప్రచారాన్ని కనుగొన్నారు. ఈ ఆపరేషన్ అమెరికన్ ఎక్స్‌ప్రెస్, డైనర్స్ క్లబ్, డిస్కవర్, JCB కో., లిమిటెడ్,...

ఆపరేషన్ ఓలాలంపో దాడి ప్రచారం

అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT), మాల్వేర్
ఇరాన్ ప్రభుత్వ-సమన్వయ ముప్పు సమూహం మడ్డీవాటర్, దీనిని ఎర్త్ వెటాలా, మాంగో సాండ్‌స్టార్మ్ మరియు మడ్డీకోస్ట్ అని కూడా పిలుస్తారు, ఆపరేషన్ ఓలాలంపో అనే కొత్త సైబర్ ప్రచారాన్ని ప్రారంభించింది. ఈ ఆపరేషన్ ప్రధానంగా మిడిల్ ఈస్ట్ మరియు నార్త్ ఆఫ్రికా (MENA) ప్రాంతంలోని సంస్థలు మరియు వ్యక్తులను లక్ష్యంగా చేసుకుంది. జనవరి 26, 2026న మొదటిసారిగా గుర్తించబడిన ఈ ప్రచారం, గతంలో గ్రూప్‌తో అనుబంధించబడిన భాగాలను...

రోండోడాక్స్ బోట్నెట్ IoT అటాక్ క్యాంపెయిన్

బోట్‌నెట్‌లు
ఇంటర్నెట్ ఆఫ్ థింగ్స్ (IoT) పరికరాలు మరియు వెబ్ అప్లికేషన్‌లను చురుకుగా లక్ష్యంగా చేసుకుని దాదాపు తొమ్మిది నెలల పాటు కొనసాగిన అత్యంత నిరంతర ప్రచారాన్ని సైబర్ సెక్యూరిటీ విశ్లేషకులు కనుగొన్నారు. ఈ ఆపరేషన్ లక్ష్యం దాడి చేసేవారి సహనం మరియు కార్యాచరణ పరిపక్వత రెండింటినీ ప్రదర్శించడానికి, రోండోడాక్స్ అని పిలువబడే బోట్‌నెట్‌లోకి దుర్బల వ్యవస్థలను నిర్బంధించడం. రియాక్ట్2షెల్: ది క్రిటికల్ ఎంట్రీ...
లోడ్...