Кампанія атаки на Windows через Crypto Clipper
Дослідники з безпеки розкрили деталі складної операції з кліпінгу криптовалюти на базі Windows, яка активна з лютого 2026 року. Кампанія використовує шкідливе програмне забезпечення для моніторингу буфера обміну, здатне до саморозповсюдження, та використовує мережу анонімності Tor для приховування своєї комунікаційної інфраструктури.
На відміну від звичайних операцій шкідливого програмного забезпечення, які покладаються на стандартні інсталятори або публічно доступні сервери командування та управління (C2), ця загроза розгортає портативний клієнт Tor та направляє весь трафік через локальний проксі-сервер SOCKS5. Поєднуючи крадіжку криптовалюти, витік даних та можливості віддаленого виконання коду, шкідливе програмне забезпечення функціонує не лише як кліпер, але й як легкий бекдор.
Зміст
Як працює шкідливе програмне забезпечення Clipper
Шкідливе програмне забезпечення Clipper розроблено для непомітного моніторингу активності жертви в буфері обміну та перехоплення конфіденційної інформації, скопійованої в пам'ять. Його основна мета — маніпулювати транзакціями криптовалюти шляхом ідентифікації адрес гаманців, пов'язаних з відомими форматами блокчейну, та заміни їх альтернативами, контрольованими зловмисником. В результаті кошти, призначені для законних одержувачів, можуть бути перенаправлені без відома жертви.
Ця кампанія використовує Windows Script Host та функціональність на основі ActiveX для запуску вбудованого проксі-сервера Tor та зв'язку з прихованим сервером C2. Шкідливе програмне забезпечення здійснює постійний стеження за буфером обміну, робить знімки екрана, викрадає інформацію, пов'язану з криптовалютою, та підміняє адреси гаманців у режимі реального часу.
Ланцюг зараження та функціональність черв’яків на основі USB
Атака починається з розповсюдження шкідливих файлів ярликів Windows (LNK) через знімні USB-накопичувачі. Коли жертва відкриває один із цих ярликів, активується компонент хробака. Шкідливе програмне забезпечення спочатку визначає, чи система вже була заражена, і завантажує решту корисного навантаження, лише якщо попереднього зараження не виявлено.
Корисне навантаження LNK активно шукає на підключених USB-пристроях документи загальновживаних форматів, включаючи файли DOC, XLSX та PDF. Після виявлення ці файли приховуються та замінюються шкідливими файлами ярликів з ідентичними назвами. Цей обманливий метод збільшує ймовірність того, що користувачі несвідомо запускатимуть шкідливе програмне забезпечення, намагаючись відкрити документ, який здається легітимним.
Окрім початкової компрометації, черв'як відповідає за поширення інфекції на додаткові неінфіковані USB-пристрої. Він також встановлює стійкість, створюючи заплановані завдання як для черв'яка, так і для компонентів-викрадачів.
Розширене ухилення та постійне виконання команд
Компонент clipper використовує WScript та ActiveXObject для безпосередньої взаємодії з операційною системою. Щоб зменшити ймовірність виявлення, шкідливе програмне забезпечення перевіряє активні процеси та завершує свою роботу, якщо запущено диспетчер завдань.
На завершальному етапі виконання перейменований бінарний файл Tor запускається у прихованому вікні. Потім шкідливе програмне забезпечення генерує унікальний ідентифікатор жертви та реєструє його у своїй віддаленій інфраструктурі. Після реєстрації воно входить у безперервний операційний цикл, опитуючи сервер C2 на наявність команд, одночасно моніторячи вміст буфера обміну приблизно кожні 500 мілісекунд.
Окрім збору даних криптовалютних гаманців, ісд-фраз та закритих ключів, шкідливе програмне забезпечення також робить скріншоти та передає їх через мережу Tor. Якщо сервер C2 відповідає командою EVAL, код, наданий зловмисником, динамічно виконується на ураженій системі, що значно розширює можливості загрози.
Ключові показники та рекомендації щодо захисту
Командам безпеки рекомендується зосередитися на методах поведінкового виявлення, а не покладатися виключно на статичні сигнатури шкідливих програм. Особливу увагу слід приділяти підозрілій активності захоплення екрана на основі PowerShell та незвичайному використанню скриптових механізмів Windows, таких як WScript або CScript, для запуску утиліт, включаючи curl, cmd.exe, PowerShell або інші неочікувані виконувані файли.
Рекомендовані захисні заходи включають:
- Вимкнення функцій автозапуску та автовідтворення для всіх знімних носіїв, блокування виконання LNK-файлів з USB-пристроїв за допомогою об'єктів групової політики (GPO) та обмеження непотрібного використання wscript.exe та cscript.exe.
- Системи моніторингу, що обробляють фінансові або криптовалютні операції, на предмет аномальної активності в буфері обміну, несанкціонованої поведінки під час зйомки екрана та підозрілого мережевого зв'язку, пов'язаного з Tor.
Чому ця загроза виділяється
Ця кампанія демонструє зростаючу складність фінансово мотивованого шкідливого програмного забезпечення. Поєднуючи поширення черв'яків на основі USB, захоплення буфера обміну, комунікації, завуальовані Tor, вилучення скріншотів та віддалене виконання коду в одному інструментарії, оператори створили універсальну загрозу, здатну як красти криптовалютні активи, так і підтримувати довгостроковий доступ до заражених систем. Використання інфраструктури прихованих сервісів ще більше ускладнює виявлення та видалення, що робить проактивний поведінковий моніторинг критично важливою захисною стратегією.
