Команда Microsoft Defender Security Research опубликовала детальный разбор кампании криптоклиппера для Windows, который сочетает червеобразное распространение через USB-накопители, маршрутизацию трафика через встроенный клиент Tor и подмену криптовалютных адресов в буфере обмена. По данным Microsoft, кампания активна предположительно с февраля 2026 года. Угроза затрагивает всех пользователей Windows, работающих с криптовалютными кошельками, и примечательна тем, что превращает финансово мотивированный стилер в полноценный легковесный бэкдор с возможностью удалённого выполнения кода.
Цепочка заражения: от USB до Tor
Первоначальный вектор атаки — вредоносный файл Windows Shortcut (LNK), распространяемый через USB-накопители. При открытии ярлыка запускается компонент-червь, который проверяет, заражена ли машина, и загружает полезную нагрузку с удалённого сервера только при отсутствии предыдущего заражения.
Червь реализует изящную схему социальной инженерии на уровне файловой системы: он сканирует USB-устройство на наличие документов распространённых форматов (DOC, XLSX, PDF), скрывает оригинальные файлы и создаёт на их месте LNK-ярлыки с теми же именами. Пользователь, полагая, что открывает обычный документ, запускает вредоносный код. Параллельно червь распространяется на другие подключённые USB-накопители и создаёт запланированные задачи для обеспечения персистентности обоих компонентов — червя и стилера.
Архитектура клиппера: скриптовый движок вместо бинарного имплантата
Архитектурное решение, выбранное авторами вредоноса, заслуживает отдельного внимания. Клиппер использует WScript и ActiveXObject для взаимодействия с операционной системой — подход, который позволяет обойтись без традиционного установщика и снижает вероятность обнаружения статическими сигнатурами антивирусов. Вместо обращения к открытой IP-инфраструктуре командного сервера вредонос разворачивает портативный клиент Tor, маршрутизируя весь трафик через локальный прокси SOCKS5 к скрытому сервису (.onion).
Примечателен механизм уклонения от анализа: вредонос завершает работу, если среди активных процессов обнаруживается Task Manager. Это простая, но эффективная проверка, рассчитанная на то, что аналитик или подозрительный пользователь, открывший диспетчер задач, не увидит подозрительной активности.
Финальная стадия: от стилера к бэкдору
На заключительном этапе вредонос запускает переименованный бинарный файл Tor в скрытом окне, генерирует уникальный идентификатор жертвы и регистрирует его на командном сервере. После этого начинается непрерывный цикл работы с двумя параллельными задачами:
- Мониторинг буфера обмена каждые ~500 миллисекунд — извлечение сид-фраз, приватных ключей и подмена скопированных адресов криптокошельков на адреса злоумышленников
- Опрос командного сервера для получения инструкций, включая возможность выполнения произвольного кода через команду EVAL
Именно наличие команды EVAL превращает финансово мотивированный клиппер в полноценный бэкдор. Как отмечает Microsoft, вредонос «смешивает кражу данных с удалённым выполнением кода», что позволяет операторам в любой момент расширить функциональность — от эксфильтрации скриншотов (которая уже реализована) до загрузки дополнительных модулей.
Оценка воздействия
Наибольшему риску подвержены пользователи и организации, работающие с криптовалютными активами на Windows-системах, особенно в средах, где USB-накопители используются для обмена файлами. Червеобразное распространение через USB делает угрозу особенно опасной для организаций с недостаточным контролем съёмных носителей — корпоративных сред с общими рабочими станциями, образовательных учреждений, малого бизнеса.
Частота опроса буфера обмена (каждые 500 мс) практически гарантирует перехват скопированного адреса кошелька до того, как пользователь успеет его вставить. При этом использование Tor для коммуникации с командным сервером существенно затрудняет сетевое обнаружение и блокировку на уровне периметра.
Рекомендации по защите
Microsoft рекомендует приоритизировать поведенческое обнаружение над статическими сигнатурами. Конкретные меры:
- Отключить AutoRun/AutoPlay для всех съёмных носителей
- Заблокировать выполнение LNK-файлов со съёмных накопителей через групповые политики (GPO)
- Ограничить использование wscript.exe и cscript.exe — запретить запуск для пользователей, которым скриптовые движки не требуются для работы
- Настроить детектирование запуска curl, cmd.exe, PowerShell или нетипичных исполняемых файлов через WScript, CScript и аналогичные скриптовые движки
- Мониторить поведение, связанное с буфером обмена и захватом экрана, на устройствах, обрабатывающих финансовые операции
- Отслеживать появление процессов Tor или нетипичных SOCKS5-прокси на рабочих станциях
Организациям, работающим с криптовалютными активами, следует немедленно проверить политики в отношении съёмных носителей и убедиться, что AutoRun отключён, а выполнение скриптов через WSH ограничено на всех рабочих станциях. Учитывая, что вредонос активно эксплуатируется и способен эволюционировать через механизм EVAL, задержка с внедрением этих мер напрямую увеличивает окно возможностей для кражи криптоактивов и компрометации систем.
