Multi-License Discount Quote
Banta sa Database Malware Kampanya ng Pag-atake sa Windows ng Crypto Clipper

Kampanya ng Pag-atake sa Windows ng Crypto Clipper

Sa pamamagitan ng Mezo sa Malware, Mga magnanakaw
Isalin To:

Isiniwalat ng mga mananaliksik sa seguridad ang mga detalye ng isang sopistikadong operasyon ng clipper ng cryptocurrency na nakabatay sa Windows na aktibo simula noong Pebrero 2026. Gumagamit ang kampanya ng malware na nagmomonitor ng clipboard na may kakayahang magpalaganap ng sarili at ginagamit ang Tor anonymity network upang itago ang imprastraktura ng komunikasyon nito.

Hindi tulad ng mga kumbensyonal na operasyon ng malware na umaasa sa mga karaniwang installer o mga pampublikong nakalantad na Command-and-Control (C2) server, ang banta na ito ay nagde-deploy ng isang portable na Tor client at nagruruta ng lahat ng trapiko sa pamamagitan ng isang lokal na SOCKS5 proxy. Sa pamamagitan ng pagsasama-sama ng mga kakayahan sa pagnanakaw ng cryptocurrency, pag-exfilt ng data, at pagpapatupad ng remote code, ang malware ay gumagana hindi lamang bilang isang clipper kundi pati na rin bilang isang magaan na backdoor.

Paano Gumagana ang Clipper Malware

Ang Clipper malware ay dinisenyo upang tahimik na subaybayan ang aktibidad ng clipboard ng biktima at maharang ang sensitibong impormasyong kinopya sa memorya. Ang pangunahing layunin nito ay manipulahin ang mga transaksyon ng cryptocurrency sa pamamagitan ng pagtukoy ng mga address ng wallet na nauugnay sa mga kilalang format ng blockchain at pagpapalit sa mga ito ng mga alternatibong kontrolado ng attacker. Bilang resulta, ang mga pondong nakalaan para sa mga lehitimong tatanggap ay maaaring i-redirect nang hindi nalalaman ng biktima.

Ang kampanyang ito ay umaasa sa Windows Script Host at ActiveX-based functionality upang maglunsad ng naka-embed na Tor proxy at makipag-ugnayan sa isang hidden-service na C2 server. Ang malware ay nagsasagawa ng patuloy na pagsubaybay sa clipboard, kumukuha ng mga screenshot, nagnanakaw ng impormasyon na may kaugnayan sa cryptocurrency, at nagpapalit ng mga wallet address nang real time.

Paggana ng USB-Based Infection Chain at Worm

Nagsisimula ang pag-atake sa pamamahagi ng mga malisyosong Windows Shortcut (LNK) file sa pamamagitan ng mga naaalis na USB storage device. Kapag binuksan ng isang biktima ang isa sa mga shortcut na ito, isang worm component ang naa-activate. Unang tinutukoy ng malware kung na-impeksyon na ang system at dina-download lamang ang natitirang payload kung walang natukoy na naunang impeksyon.

Aktibong hinahanap ng LNK payload ang mga nakakonektang USB device para sa mga karaniwang ginagamit na format ng dokumento, kabilang ang mga DOC, XLSX, at PDF file. Kapag natuklasan, ang mga file na ito ay itinatago at pinapalitan ng mga malisyosong shortcut file na may magkakaparehong pangalan. Pinapataas ng mapanlinlang na pamamaraang ito ang posibilidad na hindi namamalayan ng mga user na isasagawa ang malware habang sinusubukang buksan ang tila isang lehitimong dokumento.

Higit pa sa unang kompromiso, ang worm ang responsable sa pagkalat ng impeksyon sa mga karagdagang hindi nahawaang USB device. Nagtatatag din ito ng pagtitiyaga sa pamamagitan ng paglikha ng mga naka-iskedyul na gawain para sa parehong worm at mga bahagi ng stealer.

Mas Mataas na Pag-iwas at Patuloy na Pagpapatupad ng Utos

Ginagamit ng bahaging clipper ang WScript at ActiveXObject upang direktang makipag-ugnayan sa operating system. Upang mabawasan ang posibilidad ng pagtuklas, sinusuri ng malware ang mga aktibong proseso at tinatapos ang sarili nito kung tumatakbo ang Task Manager.

Sa huling yugto ng pagpapatupad, isang Tor binary na pinalitan ng pangalan ang inilulunsad sa isang nakatagong window. Pagkatapos, ang malware ay bubuo ng isang natatanging identifier ng biktima at irerehistro ito sa remote infrastructure nito. Pagkatapos ng pagpaparehistro, papasok ito sa isang patuloy na operational loop, sinusuri ang C2 server para sa mga command habang sinusubaybayan ang mga nilalaman ng clipboard humigit-kumulang bawat 500 milliseconds.

Bukod sa pagkuha ng datos mula sa cryptocurrency wallet, mga seed phrase, at mga private key, kumukuha rin ang malware ng mga screenshot at inililipat ang mga ito sa pamamagitan ng Tor network. Kung tutugon ang C2 server gamit ang isang EVAL command, ang code na ibinigay ng attacker ay dynamic na isinasagawa sa nakompromisong system, na lubos na nagpapalawak sa kakayahan ng banta.

Mga Pangunahing Tagapagpahiwatig at Mga Rekomendasyon sa Depensa

Pinapayuhan ang mga security team na tumuon sa mga pamamaraan sa pagtukoy ng pag-uugali sa halip na umasa lamang sa mga static na lagda ng malware. Dapat bigyan ng partikular na atensyon ang kahina-hinalang aktibidad ng screen-capture na nakabatay sa PowerShell at hindi pangkaraniwang paggamit ng mga Windows scripting engine tulad ng WScript o CScript upang maglunsad ng mga utility kabilang ang curl, cmd.exe, PowerShell, o iba pang hindi inaasahang executable.

Ang mga inirerekomendang hakbang sa pagtatanggol ay kinabibilangan ng:

  • Hindi pinapagana ang functionality na AutoRun at AutoPlay para sa lahat ng naaalis na media, hinaharangan ang pagpapatupad ng LNK file mula sa mga USB device sa pamamagitan ng Group Policy Objects (GPOs), at nililimitahan ang hindi kinakailangang paggamit ng wscript.exe at cscript.exe.
  • Mga sistema ng pagsubaybay na humahawak sa mga operasyong pinansyal o nauugnay sa cryptocurrency para sa abnormal na aktibidad sa clipboard, hindi awtorisadong pag-uugali ng screen-capture, at mga kahina-hinalang komunikasyon sa network na nauugnay sa Tor.

Bakit Namumukod-tangi ang Bantang Ito

Ipinapakita ng kampanyang ito ang tumitinding sopistikasyon ng malware na may motibasyon sa pananalapi. Sa pamamagitan ng pagsasama-sama ng pagpapalaganap ng worm na nakabatay sa USB, pag-hijack ng clipboard, mga komunikasyon na naka-obfuscate sa Tor, pag-exfiltration ng screenshot, at pagpapatupad ng remote code sa iisang toolkit, nakalikha ang mga operator ng isang maraming nalalaman na banta na may kakayahang magnakaw ng mga asset ng cryptocurrency at mapanatili ang pangmatagalang access sa mga nahawaang sistema. Ang paggamit ng imprastraktura ng nakatagong serbisyo ay lalong nagpapakomplikado sa mga pagsisikap sa pagtukoy at pag-alis, na ginagawang isang kritikal na estratehiya sa depensa ang proactive behavioral monitoring.

Mga Kaugnay na Mga Post

Kampanya ng Pag-atake ng APT28 FrostArmada

Advanced Persistent Threat (APT), Malware, Phishing
Isang sopistikadong operasyon ng cyber espionage na iniuugnay sa grupong banta na may kaugnayan sa Russia na APT28, na kilala rin bilang Forest Blizzard, ang gumamit ng mga mahihinang imprastraktura ng network upang magsagawa ng malawakang pagmamatyag. Aktibo simula noong Mayo 2025, ang kampanya, na may codename na FrostArmada, ay nakatuon sa pagkompromiso sa mga hindi secure na MikroTik at...

Kampanya ng Pag-atake ng Medusa Ransomware

Advanced Persistent Threat (APT), Ransomware
Ang banta na may kaugnayan sa Hilagang Korea na kilala bilang Lazarus Group, na sinusubaybayan din bilang Diamond Sleet at Pompilus, ay naobserbahang gumagamit ng Medusa ransomware sa isang pag-atake laban sa isang hindi pinangalanang organisasyon sa Gitnang Silangan. Natukoy pa ng mga mananaliksik sa seguridad ang isang hindi matagumpay na pagtatangka ng panghihimasok ng mga parehong aktor na...
Naglo-load...