Microsoft ujawnia kampanię clipper malware dla Windows rozprzestrzenianą przez USB i ukrywającą C2 w sieci Tor - Security Bez Tabu

Microsoft ujawnia kampanię clipper malware dla Windows rozprzestrzenianą przez USB i ukrywającą C2 w sieci Tor

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft opisał kampanię złośliwego oprogramowania typu clipper wymierzoną w użytkowników systemu Windows, której głównym celem jest kradzież środków powiązanych z kryptowalutami. Tego rodzaju malware monitoruje schowek systemowy i podmienia skopiowane adresy portfeli na adresy kontrolowane przez napastników, co może prowadzić do nieodwracalnej utraty aktywów cyfrowych.

W analizowanym przypadku zagrożenie wyróżnia się połączeniem kilku technik: propagacji przez nośniki USB, wykorzystania skrótów LNK, automatyzacji opartej o Windows Script Host i ActiveX oraz komunikacji z serwerem dowodzenia i kontroli ukrytym za pośrednictwem sieci Tor.

W skrócie

Kampania była obserwowana co najmniej od lutego 2026 roku i koncentruje się na kradzieży danych związanych z portfelami kryptowalut. Łańcuch infekcji rozpoczyna się od złośliwego pliku LNK dostarczanego przez urządzenia USB, po czym aktywowany jest komponent robaka odpowiedzialny za pobranie właściwego ładunku i dalszą replikację.

  • Wejście do systemu następuje przez złośliwy skrót LNK na nośniku USB.
  • Malware ukrywa legalne pliki i zastępuje je skrótami o tych samych nazwach.
  • Moduł clipper monitoruje schowek, przechwytuje frazy seed i klucze prywatne.
  • Komunikacja z C2 odbywa się przez lokalny proxy SOCKS5 i przenośnego klienta Tor.
  • Operator może dostarczać kod do wykonania, rozszerzając działanie malware o funkcje backdoora.

Kontekst / historia

Ataki wykorzystujące nośniki USB i skróty LNK od lat pozostają skutecznym narzędziem infekcji, szczególnie w środowiskach o ograniczonej kontroli urządzeń wymiennych. Mechanizm bazuje na socjotechnice: użytkownik widzi pozornie znajomy dokument lub folder i uruchamia skrót, który w rzeczywistości inicjuje szkodliwy kod.

Opisana kampania pokazuje ewolucję klasycznego robaka USB w bardziej elastyczne narzędzie finansowe. Dodanie ukrytej infrastruktury C2 opartej na Tor utrudnia analizę ruchu sieciowego, blokowanie komunikacji oraz identyfikację operatorów. To także przykład, jak relatywnie prosty malware clipper może zostać rozbudowany do platformy wspierającej dalsze operacje po uzyskaniu dostępu do stacji roboczej.

Analiza techniczna

Punkt wejścia stanowi złośliwy plik Windows Shortcut. Po jego uruchomieniu aktywowany jest komponent worm, który sprawdza stan infekcji hosta. Jeżeli urządzenie nie zostało wcześniej zainfekowane, pobierany jest zdalny payload, a następnie uruchamiane są kolejne etapy łańcucha ataku.

W części odpowiedzialnej za propagację malware skanuje nośnik USB pod kątem popularnych typów plików, takich jak dokumenty biurowe i PDF. Oryginalne pliki są ukrywane, a w ich miejsce tworzone są nowe skróty LNK o identycznych nazwach. Taki zabieg zwiększa skuteczność infekcji, ponieważ użytkownik zakłada, że otwiera właściwy plik.

Dla utrzymania trwałości malware tworzy zadania harmonogramu zarówno dla komponentu robaka, jak i dla modułu kradnącego dane. Sam clipper wykorzystuje WScript i obiekty ActiveX do interakcji z systemem. Według opisu kampanii sprawdza także aktywne procesy i kończy działanie po wykryciu Menedżera zadań, co wskazuje na prosty mechanizm antyanalityczny.

W końcowej fazie uruchamiany jest przemianowany klient Tor działający w ukrytym oknie. Malware generuje unikalny identyfikator ofiary, rejestruje go po stronie infrastruktury sterującej i przechodzi do pracy ciągłej. Pętla działania obejmuje okresowe odpytywanie C2 o polecenia oraz bardzo częste monitorowanie schowka, wykonywane mniej więcej co 500 milisekund.

Atakujący nie ograniczają się wyłącznie do podmiany adresów portfeli. Malware przechwytuje również frazy seed, klucze prywatne i wykonuje zrzuty ekranu, co pozwala uzyskać szerszy obraz działań ofiary. Jeżeli serwer C2 zwróci odpowiedź typu EVAL, szkodliwy kod może wykonać dodatkowe polecenia dostarczone dynamicznie, nadając kampanii cechy lekkiego backdoora.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem kampanii jest utrata środków kryptowalutowych przez podmianę adresu odbiorcy w momencie realizacji transakcji. To szczególnie groźny scenariusz, ponieważ użytkownik może nie zauważyć manipulacji, a transakcje blockchain z reguły są nieodwracalne.

Skala ryzyka jest jednak większa niż pojedyncza kradzież. Przechwycenie seed phrases, kluczy prywatnych i zrzutów ekranu może doprowadzić do pełnego przejęcia portfeli, kont giełdowych oraz innych zasobów finansowych. Dodatkowo możliwość wykonywania kodu zwróconego przez C2 oznacza, że operatorzy mogą rozbudować infekcję o kolejne moduły, takie jak stealer, narzędzia zdalnego dostępu lub komponenty przygotowujące grunt pod następne etapy ataku.

W środowiskach firmowych zagrożenie jest istotne zwłaszcza tam, gdzie dopuszczane są nośniki wymienne i gdzie użytkownicy pracują z aktywami cyfrowymi, procesami finansowymi lub danymi uwierzytelniającymi. Wykorzystanie Tor oraz mechanizmów skryptowych systemu Windows może też utrudniać wykrycie kampanii przez rozwiązania oparte wyłącznie na prostych sygnaturach.

Rekomendacje

Organizacje powinny w pierwszej kolejności ograniczyć lub całkowicie zablokować wykonywanie plików LNK z nośników wymiennych. Tam, gdzie to możliwe, warto wdrożyć polityki uniemożliwiające uruchamianie skrótów z urządzeń USB oraz wyłączyć AutoRun i AutoPlay dla wszystkich mediów wymiennych.

Równie ważne jest utwardzenie środowiska skryptowego. Użycie wscript.exe i cscript.exe powinno zostać zawężone do jasno uzasadnionych przypadków biznesowych, a ich nietypowe uruchomienia w powiązaniu z cmd.exe, PowerShell, curl lub nieznanymi binariami należy traktować jako zdarzenia wysokiego ryzyka.

  • Monitorować pojawianie się skrótów LNK o nazwach odpowiadających dokumentom.
  • Wykrywać ukrywanie oryginalnych plików na nośnikach USB.
  • Analizować częste odczyty schowka przez procesy skryptowe.
  • Śledzić tworzenie trwałości przez Scheduled Tasks.
  • Zwracać uwagę na ruch do lokalnego proxy SOCKS5 i oznaki uruchamiania binariów Tor.
  • Identyfikować nietypowe zrzuty ekranu inicjowane z poziomu skryptów lub PowerShell.

W organizacjach obsługujących kryptowaluty warto wdrożyć dodatkowe zabezpieczenia proceduralne, takie jak niezależna weryfikacja adresów portfeli, zasada czterech oczu przy większych transferach, korzystanie z zatwierdzonych książek adresowych oraz potwierdzanie transakcji kanałem out-of-band. Istotne pozostaje także szkolenie użytkowników, aby nie uruchamiali skrótów z nośników wymiennych i zawsze porównywali pełny adres odbiorcy przed zatwierdzeniem operacji.

Podsumowanie

Opisana przez Microsoft kampania pokazuje, że malware finansowe dla Windows staje się coraz bardziej modułowe, elastyczne i trudniejsze do wykrycia. Połączenie robaka USB opartego o LNK, monitorowania schowka, przechwytywania danych uwierzytelniających, eksfiltracji zrzutów ekranu oraz ukrytej komunikacji C2 przez Tor tworzy skuteczny model ataku na użytkowników operujących kryptowalutami.

Dla zespołów bezpieczeństwa kluczowe znaczenie ma nie tylko blokowanie znanych próbek, ale przede wszystkim wykrywanie zachowań charakterystycznych dla propagacji przez USB, nadużyć Windows Script Host, trwałości przez zadania harmonogramu oraz manipulacji schowkiem. W przypadku środowisk finansowych i organizacji pracujących z aktywami cyfrowymi jest to zagrożenie o realnym wpływie biznesowym i operacyjnym.

Źródła

  1. https://thehackernews.com/2026/06/microsoft-details-windows-clipper.html
  2. https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/
  3. https://www.microsoft.com/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/