Crypto Clipper Windows 攻击活动
安全研究人员披露了一个复杂的基于 Windows 的加密货币剪贴板攻击行动的细节,该行动自 2026 年 2 月以来一直活跃。该攻击活动使用能够自我传播的剪贴板监控恶意软件,并利用 Tor 匿名网络来隐藏其通信基础设施。
与依赖标准安装程序或公开的命令与控制 (C2) 服务器的传统恶意软件不同,这种威胁部署了一个便携式 Tor 客户端,并将所有流量路由到本地 SOCKS5 代理。通过结合加密货币窃取、数据泄露和远程代码执行功能,该恶意软件不仅可以作为剪贴板使用,还可以作为轻量级后门。
目录
Clipper恶意软件的运作方式
Clipper恶意软件旨在静默监控受害者的剪贴板活动,并拦截复制到内存中的敏感信息。其主要目标是通过识别与已知区块链格式关联的钱包地址,并将其替换为攻击者控制的替代地址,从而操纵加密货币交易。这样一来,原本应支付给合法收款人的资金就会在受害者不知情的情况下被转移。
此次攻击活动利用 Windows Script Host 和基于 ActiveX 的功能启动嵌入式 Tor 代理,并与隐藏的 C2 服务器通信。该恶意软件会持续监视剪贴板、捕获屏幕截图、窃取加密货币相关信息,并实时替换钱包地址。
基于USB的感染链和蠕虫功能
攻击始于通过可移动USB存储设备传播恶意Windows快捷方式(LNK)文件。当受害者打开其中一个快捷方式时,蠕虫组件就会被激活。该恶意软件首先会检测系统是否已被感染,只有在未检测到先前感染的情况下才会下载剩余的有效载荷。
LNK 有效载荷会主动搜索已连接的 USB 设备,查找常用的文档格式,包括 DOC、XLSX 和 PDF 文件。一旦发现这些文件,它们就会被隐藏并替换为名称相同的恶意快捷方式文件。这种欺骗性技术增加了用户在尝试打开看似合法的文档时,无意中执行恶意软件的可能性。
除了初始入侵之外,该蠕虫还负责将感染传播到其他未感染的USB设备。它还会为蠕虫自身和窃取组件创建定时任务,从而实现持久化。
高级规避和持续命令执行
该剪贴板组件利用 WScript 和 ActiveXObject 直接与操作系统交互。为了降低被检测到的概率,该恶意软件会检查活动进程,如果任务管理器正在运行,则会自动终止。
在执行的最后阶段,一个重命名的 Tor 二进制文件会在隐藏窗口中启动。该恶意软件随后会生成一个唯一的受害者标识符,并将其注册到其远程基础设施中。注册后,它会进入一个持续运行的循环,轮询 C2 服务器以获取命令,同时大约每 500 毫秒监控一次剪贴板内容。
除了窃取加密货币钱包数据、助记词和私钥外,该恶意软件还会截取屏幕截图并通过 Tor 网络传输。如果 C2 服务器响应 EVAL 命令,攻击者提供的代码就会在受感染的系统上动态执行,从而显著增强威胁的能力。
关键指标和防御建议
建议安全团队将重点放在行为检测技术上,而不是仅仅依赖静态恶意软件特征码。尤其应该关注可疑的基于 PowerShell 的屏幕截图活动,以及异常使用 Windows 脚本引擎(例如 WScript 或 CScript)启动包括 curl、cmd.exe、PowerShell 或其他意外可执行文件在内的实用程序。
建议采取的防御措施包括:
- 禁用所有可移动介质的自动运行和自动播放功能,通过组策略对象 (GPO) 阻止从 USB 设备执行 LNK 文件,并限制对 wscript.exe 和 cscript.exe 的不必要使用。
- 监控处理金融或加密货币相关操作的系统,以发现异常剪贴板活动、未经授权的屏幕截图行为以及可疑的 Tor 相关网络通信。
这种威胁为何如此突出
此次攻击活动表明,以牟利为目的的恶意软件正变得越来越复杂。攻击者将基于 USB 的蠕虫传播、剪贴板劫持、Tor 混淆通信、屏幕截图窃取和远程代码执行等多种攻击手段整合到一个工具包中,从而制造出一种功能强大的威胁,既能窃取加密货币资产,又能长期控制受感染的系统。此外,攻击者还利用隐藏服务基础设施进一步增加了检测和清除难度,因此,主动行为监控成为一项至关重要的防御策略。
