Crypto Clipper Windows 攻擊活動
安全研究人員揭露了一個複雜的基於 Windows 的加密貨幣剪貼簿攻擊行動的細節,該行動自 2026 年 2 月以來一直活躍。該攻擊活動使用能夠自我傳播的剪貼簿監控惡意軟體,並利用 Tor 匿名網路來隱藏其通訊基礎設施。
與依賴標準安裝程式或公開的命令與控制 (C2) 伺服器的傳統惡意軟體不同,這種威脅部署了一個便攜式 Tor 用戶端,並將所有流量路由到本機 SOCKS5 代理程式。透過結合加密貨幣竊取、資料外洩和遠端程式碼執行功能,該惡意軟體不僅可以作為剪貼簿使用,還可以作為輕量級後門。
目錄
Clipper惡意軟體的運作方式
Clipper惡意軟體旨在靜默監控受害者的剪貼簿活動,並攔截複製到記憶體中的敏感資訊。其主要目標是透過識別與已知區塊鏈格式關聯的錢包位址,並將其替換為攻擊者控制的替代位址,從而操縱加密貨幣交易。這樣一來,原本應支付給合法收款人的資金就會在受害者不知情的情況下被轉移。
此次攻擊活動利用 Windows Script Host 和基於 ActiveX 的功能啟動嵌入式 Tor 代理,並與隱藏的 C2 伺服器通訊。該惡意軟體會持續監視剪貼簿、捕獲螢幕截圖、竊取加密貨幣相關訊息,並即時替換錢包位址。
基於USB的感染鍊和蠕蟲功能
攻擊始於透過可移動USB儲存裝置傳播惡意Windows捷徑(LNK)檔案。當受害者打開其中一個快捷方式時,蠕蟲組件就會被啟動。該惡意軟體首先會偵測系統是否已被感染,只有在未偵測到先前感染的情況下才會下載剩餘的有效載荷。
LNK 有效載荷會主動搜尋已連接的 USB 設備,尋找常用的文件格式,包括 DOC、XLSX 和 PDF 檔案。一旦發現這些文件,它們就會被隱藏並替換為名稱相同的惡意捷徑文件。這種欺騙性技術增加了使用者在嘗試開啟看似合法的文件時,無意中執行惡意軟體的可能性。
除了初始入侵之外,該蠕蟲還負責將感染傳播到其他未感染的USB設備。它還會為蠕蟲自身和竊取元件建立定時任務,從而實現持久化。
高級規避和持續命令執行
此剪貼簿元件利用 WScript 和 ActiveXObject 直接與作業系統互動。為了降低被偵測到的機率,該惡意軟體會檢查活動進程,如果任務管理器正在運行,則會自動終止。
在執行的最後階段,一個重新命名的 Tor 二進位檔案會在隱藏視窗中啟動。該惡意軟體隨後會產生一個唯一的受害者標識符,並將其註冊到其遠端基礎設施中。註冊後,它會進入一個持續運行的循環,輪詢 C2 伺服器以獲取命令,同時大約每 500 毫秒監控一次剪貼簿內容。
除了竊取加密貨幣錢包資料、助記詞和私鑰外,該惡意軟體還會截取螢幕截圖並透過 Tor 網路傳輸。如果 C2 伺服器回應 EVAL 指令,攻擊者提供的程式碼就會在受感染的系統上動態執行,從而顯著增強威脅的能力。
關鍵指標和防禦建議
建議安全團隊將重點放在行為偵測技術上,而不是僅依賴靜態惡意軟體特徵碼。尤其應該關注可疑的基於 PowerShell 的螢幕截圖活動,以及異常使用 Windows 腳本引擎(例如 WScript 或 CScript)啟動包括 curl、cmd.exe、PowerShell 或其他意外可執行檔在內的實用程式。
建議採取的防禦措施包括:
- 停用所有可移動媒體的自動運行和自動播放功能,透過群組原則物件 (GPO) 阻止從 USB 裝置執行 LNK 文件,並限制對 wscript.exe 和 cscript.exe 的不必要使用。
- 監控處理金融或加密貨幣相關操作的系統,以發現異常剪貼簿活動、未經授權的螢幕截圖行為以及可疑的 Tor 相關網路通訊。
這種威脅為何如此突出
這項攻擊活動表明,以牟利為目的的惡意軟體變得越來越複雜。攻擊者將基於 USB 的蠕蟲傳播、剪貼簿劫持、Tor 混淆通訊、螢幕截圖竊取和遠端程式碼執行等多種攻擊手段整合到一個工具包中,從而製造出一種強大的威脅,既能竊取加密貨幣資產,又能長期控制受感染的系統。此外,攻擊者還利用隱藏服務基礎設施進一步增加了偵測和清除難度,因此,主動行為監控成為至關重要的防禦策略。
