- 27,651
- 46
- 8 Ноя 2022
Достаточно было открыть привычный ярлык, чтобы сценарий пошёл не по плану.
Вредоносные программы всё чаще обходятся без заметной инфраструктуры управления, пряча связь с операторами внутри анонимных сетей, и именно такую кампанию против владельцев криптовалют недавно описала Microsoft.
По данным специалистов компании, с февраля 2026 года злоумышленники распространяют так называемый «клиппер», который подменяет адреса криптовалютных кошельков и крадёт конфиденциальные данные. Особенность схемы в том, что вредоносная программа использует встроенный клиент Tor для связи с сервером управления через скрытые сервисы, а также может выполнять команды, полученные удалённо.
Заражение начинается через USB-накопители. На флешку попадает вредоносный файл ярлыка Windows (LNK). После запуска такой ярлык проверяет, присутствует ли вредонос на компьютере, и при необходимости загружает дополнительные компоненты. Затем червь скрывает документы на носителе и создаёт новые ярлыки с теми же названиями. Пользователь видит привычный файл PDF или DOCX, но вместо документа запускает вредоносный код.
Один из модулей отвечает за дальнейшее распространение через съёмные носители и закрепление в системе с помощью запланированных задач. Второй модуль выполняет функции клиппера. Он следит за содержимым буфера обмена, собирает данные криптовалютных кошельков и передаёт информацию операторам.
После запуска вредонос активирует замаскированный клиент Tor, создаёт уникальный идентификатор жертвы и регистрируется на сервере управления. Далее программа постоянно ожидает команды и примерно дважды в секунду проверяет буфер обмена в поисках сид-фраз, приватных ключей и адресов кошельков. При обнаружении адреса криптовалютного кошелька вредонос может незаметно заменить его на адрес злоумышленников. Также программа отправляет через Tor снимки экрана.
Microsoft отмечает, что клиппер использует Windows Script Host и ActiveX для взаимодействия с системой, а при обнаружении запущенного «Диспетчера задач» завершает работу, пытаясь избежать обнаружения. Если сервер управления возвращает специальную команду EVAL, вредонос способен выполнить переданный злоумышленниками код прямо во время работы.
Для защиты Microsoft рекомендует уделять больше внимания поведенческим признакам атак, а не только сигнатурам. Компания советует отключить AutoRun и AutoPlay для съёмных носителей, запретить запуск LNK-файлов с внешних накопителей через групповые политики, ограничить использование wscript.exe и cscript.exe, а также отслеживать подозрительную активность, связанную с буфером обмена и созданием снимков экрана.
Вредоносные программы всё чаще обходятся без заметной инфраструктуры управления, пряча связь с операторами внутри анонимных сетей, и именно такую кампанию против владельцев криптовалют недавно описала Microsoft.
По данным специалистов компании, с февраля 2026 года злоумышленники распространяют так называемый «клиппер», который подменяет адреса криптовалютных кошельков и крадёт конфиденциальные данные. Особенность схемы в том, что вредоносная программа использует встроенный клиент Tor для связи с сервером управления через скрытые сервисы, а также может выполнять команды, полученные удалённо.
Заражение начинается через USB-накопители. На флешку попадает вредоносный файл ярлыка Windows (LNK). После запуска такой ярлык проверяет, присутствует ли вредонос на компьютере, и при необходимости загружает дополнительные компоненты. Затем червь скрывает документы на носителе и создаёт новые ярлыки с теми же названиями. Пользователь видит привычный файл PDF или DOCX, но вместо документа запускает вредоносный код.
Один из модулей отвечает за дальнейшее распространение через съёмные носители и закрепление в системе с помощью запланированных задач. Второй модуль выполняет функции клиппера. Он следит за содержимым буфера обмена, собирает данные криптовалютных кошельков и передаёт информацию операторам.
После запуска вредонос активирует замаскированный клиент Tor, создаёт уникальный идентификатор жертвы и регистрируется на сервере управления. Далее программа постоянно ожидает команды и примерно дважды в секунду проверяет буфер обмена в поисках сид-фраз, приватных ключей и адресов кошельков. При обнаружении адреса криптовалютного кошелька вредонос может незаметно заменить его на адрес злоумышленников. Также программа отправляет через Tor снимки экрана.
Microsoft отмечает, что клиппер использует Windows Script Host и ActiveX для взаимодействия с системой, а при обнаружении запущенного «Диспетчера задач» завершает работу, пытаясь избежать обнаружения. Если сервер управления возвращает специальную команду EVAL, вредонос способен выполнить переданный злоумышленниками код прямо во время работы.
Для защиты Microsoft рекомендует уделять больше внимания поведенческим признакам атак, а не только сигнатурам. Компания советует отключить AutoRun и AutoPlay для съёмных носителей, запретить запуск LNK-файлов с внешних накопителей через групповые политики, ограничить использование wscript.exe и cscript.exe, а также отслеживать подозрительную активность, связанную с буфером обмена и созданием снимков экрана.
- Источник новости
- www.securitylab.ru
