Команда Microsoft Defender Security Research опублікувала детальний розбір кампанії криптокліппера для Windows, який поєднує червеподібне поширення через USB-накопичувачі, маршрутизацію трафіку через вбудований клієнт Tor та підміну криптовалютних адрес у буфері обміну. За даними Microsoft, кампанія активна ймовірно з лютого 2026 року. Загроза стосується всіх користувачів Windows, які працюють із криптовалютними гаманцями, і показова тим, що перетворює фінансово вмотивований стілер на повноцінний легковаговий бекдор із можливістю віддаленого виконання коду.
Ланцюжок зараження: від USB до Tor
Початковий вектор атаки — шкідливий файл Windows Shortcut (LNK), що поширюється через USB-накопичувачі. Під час відкриття ярлика запускається компонент‑черв’як, який перевіряє, чи заражена машина, і завантажує корисне навантаження з віддаленого сервера лише за відсутності попереднього зараження.
Черв’як реалізує витончену схему соціальної інженерії на рівні файлової системи: він сканує USB-пристрій на наявність документів поширених форматів (DOC, XLSX, PDF), приховує оригінальні файли і створює натомість LNK-ярлики з тими самими іменами. Користувач, вважаючи, що відкриває звичайний документ, запускає шкідливий код. Паралельно черв’як поширюється на інші підключені USB-накопичувачі та створює заплановані завдання для забезпечення персистентності обох компонентів — черв’яка і стілера.
Архітектура кліппера: скриптовий рушій замість бінарного імплантата
Архітектурне рішення, обране авторами шкідливого ПЗ, заслуговує на окрему увагу. Кліппер використовує WScript і ActiveXObject для взаємодії з операційною системою — підхід, який дозволяє обійтися без традиційного інсталятора і зменшує ймовірність виявлення статичними сигнатурами антивірусів. Замість звернення до відкритої IP-інфраструктури командного сервера шкідлива програма розгортає портативний клієнт Tor, маршрутизуючи весь трафік через локальний SOCKS5-проксі до прихованого сервісу (.onion).
Показовим є механізм ухилення від аналізу: шкідлива програма завершує роботу, якщо серед активних процесів виявляється Task Manager. Це проста, але ефективна перевірка, розрахована на те, що аналітик або насторожений користувач, який відкрив диспетчер завдань, не побачить підозрілої активності.
Фінальна стадія: від стілера до бекдору
На заключному етапі шкідлива програма запускає перейменований бінарний файл Tor у прихованому вікні, генерує унікальний ідентифікатор жертви та реєструє його на командному сервері. Після цього починається безперервний цикл роботи з двома паралельними задачами:
- Моніторинг буфера обміну кожні ~500 мілісекунд — вилучення сид-фраз, приватних ключів і підміна скопійованих адрес криптогаманців на адреси зловмисників
- Опитування командного сервера для отримання інструкцій, зокрема можливості виконання довільного коду через команду EVAL
Саме наявність команди EVAL перетворює фінансово вмотивований кліппер на повноцінний бекдор. Як зазначає Microsoft, шкідлива програма «поєднує крадіжку даних із віддаленим виконанням коду», що дозволяє операторам у будь-який момент розширити функціональність — від ексфільтрації скріншотів (яка вже реалізована) до завантаження додаткових модулів.
Оцінка впливу
Найбільшому ризику піддаються користувачі й організації, що працюють із криптовалютними активами на Windows-системах, особливо в середовищах, де USB-накопичувачі використовуються для обміну файлами. Червеподібне поширення через USB робить загрозу особливо небезпечною для організацій із недостатнім контролем знімних носіїв — корпоративних середовищ із спільними робочими станціями, освітніх закладів, малого бізнесу.
Частота опитування буфера обміну (кожні 500 мс) практично гарантує перехоплення скопійованої адреси гаманця до того, як користувач встигне її вставити. Водночас використання Tor для комунікації з командним сервером суттєво ускладнює мережеве виявлення та блокування на рівні периметра.
Рекомендації щодо захисту
Microsoft рекомендує надавати пріоритет поведінковому виявленню над статичними сигнатурами. Конкретні заходи:
- Вимкнути AutoRun/AutoPlay для всіх знімних носіїв
- Заблокувати виконання LNK-файлів із знімних накопичувачів через групові політики (GPO)
- Обмежити використання wscript.exe і cscript.exe — заборонити запуск для користувачів, яким скриптові рушії не потрібні для роботи
- Налаштувати виявлення запуску curl, cmd.exe, PowerShell або нетипових виконуваних файлів через WScript, CScript та інші подібні скриптові рушії
- Моніторити поведінку, пов’язану з буфером обміну та захопленням екрана, на пристроях, що обробляють фінансові операції
- Відстежувати появу процесів Tor або нетипових SOCKS5-проксі на робочих станціях
Організаціям, що працюють із криптовалютними активами, слід негайно перевірити політики щодо знімних носіїв і переконатися, що AutoRun вимкнено, а виконання скриптів через WSH обмежено на всіх робочих станціях. З огляду на те, що шкідлива програма активно експлуатується й здатна еволюціонувати завдяки механізму EVAL, затримка з упровадженням цих заходів безпосередньо збільшує вікно можливостей для крадіжки криптоактивів і компрометації систем.
