Torowy clipper na Windows kradnie frazy seed i podmienia adresy portfeli kryptowalut

Wprowadzenie do problemu / definicja

Clipper to złośliwe oprogramowanie, które monitoruje schowek systemowy i podmienia kopiowane dane, najczęściej adresy portfeli kryptowalut. W opisywanej kampanii zagrożenie wykracza jednak poza klasyczny scenariusz kradzieży środków, ponieważ malware poluje również na frazy seed BIP39, klucze prywatne oraz dane widoczne na ekranie użytkownika.

To połączenie kilku technik sprawia, że mamy do czynienia nie tylko z narzędziem do manipulacji transakcjami, ale z wielofunkcyjnym malware finansowym ukierunkowanym na przejęcie pełnej kontroli nad aktywami cyfrowymi ofiary.

W skrócie

• Kampania atakuje użytkowników Windows korzystających z portfeli kryptowalut.
• Infekcja rozpoczyna się od złośliwych plików .lnk rozprzestrzenianych przez nośniki USB.
• Malware ukrywa oryginalne pliki i zastępuje je skrótami o tych samych nazwach.
• Zagrożenie monitoruje schowek i podmienia adresy portfeli na kontrolowane przez atakujących.
• Oprogramowanie wykrywa frazy seed BIP39 oraz klucze prywatne i wysyła je do operatorów.
• Komunikacja z infrastrukturą sterującą odbywa się przez sieć Tor.
• Dodatkowo malware potrafi wykonywać zrzuty ekranu i uruchamiać zdalnie dodatkowy kod.

Kontekst / historia

Zagrożenia typu clipper od lat są wykorzystywane w cyberprzestępczości wymierzonej w użytkowników kryptowalut. Ich podstawowy model działania polega na cichej zmianie adresu odbiorcy w momencie kopiowania i wklejania, tak aby ofiara nieświadomie wysłała środki do portfela przestępców.

Obecna kampania pokazuje jednak wyraźną ewolucję tego rodzaju ataków. Atakujący łączą prostą i skuteczną propagację przez nośniki wymienne z mechanizmami anonimizacji ruchu, obfuskacji kodu oraz zdalnego sterowania zainfekowanym hostem. To oznacza, że clipper przestaje być wyłącznie narzędziem do jednorazowej kradzieży i staje się elementem szerszej operacji kompromitacji systemu.

Istotne znaczenie ma też wykorzystanie plików .lnk na USB. Taki wektor infekcji dobrze sprawdza się w środowiskach, w których ograniczono tradycyjne kanały dostarczania malware, takie jak poczta elektroniczna czy pobieranie plików z internetu.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od uruchomienia złośliwego skrótu .lnk z nośnika USB. Po wykonaniu malware przeszukuje urządzenie w poszukiwaniu popularnych plików, w tym dokumentów biurowych i PDF. Następnie ukrywa oryginalne dane i zastępuje je skrótami o identycznych nazwach, co zwiększa szansę na dalsze uruchamianie złośliwego kodu przez kolejnych użytkowników.

Po uzyskaniu aktywności na hoście zagrożenie replikuje się na następne podłączane urządzenia oraz tworzy mechanizmy utrzymania, takie jak zadania harmonogramu. Dzięki temu może utrzymywać obecność w systemie i przemieszczać się między urządzeniami w sposób trudny do zauważenia podczas codziennej pracy.

Najważniejsza funkcja operacyjna dotyczy schowka systemowego. Malware cyklicznie analizuje jego zawartość i wyszukuje wzorce odpowiadające adresom portfeli kryptowalut, między innymi dla Bitcoin, Ethereum, Tron i Monero. Po wykryciu adresu następuje jego podmiana na adres kontrolowany przez operatora kampanii. W części przypadków podstawiony adres jest wizualnie zbliżony do oryginału, co ma utrudnić wykrycie manipulacji.

Zaawansowany komponent odpowiada za rozpoznawanie fraz seed BIP39. Złośliwe oprogramowanie analizuje kopiowane dane pod kątem sekwencji 12 lub 24 słów charakterystycznych dla mechanizmów odzyskiwania portfeli. Po identyfikacji takich danych zapisuje je lokalnie, a następnie eksfiltruje do infrastruktury sterującej. Podobny mechanizm obejmuje również klucze prywatne wykorzystywane w środowiskach kryptowalutowych.

Dodatkowym elementem operacji są zrzuty ekranu wykonywane w krótkich odstępach czasu. Pozwala to operatorowi uzyskać kontekst działań ofiary, na przykład zobaczyć otwartą aplikację portfelową, ekran potwierdzania transakcji lub inne poufne informacje wyświetlane na pulpicie.

Warstwa komunikacyjna opiera się na wbudowanym kliencie Tor. Malware uruchamia lokalny proxy SOCKS5 na porcie 9050 i komunikuje się z usługami ukrytymi, co utrudnia wykrywanie oraz identyfikację infrastruktury sterującej. Badacze wskazują też na użycie technik utrudniających analizę, takich jak pakowanie przy użyciu PyInstaller, obfuskacja PyArmor, odszyfrowywanie komponentów dopiero w czasie wykonania oraz dodatkowe zaciemnianie skryptów JavaScript.

Szczególnie niebezpieczna jest obecność kanału zdalnego wykonywania kodu. Serwer C2 może dostarczyć polecenie pobrania i uruchomienia dodatkowego skryptu, co w praktyce rozszerza możliwości malware poza klasyczny clipper. Taki mechanizm może służyć do dalszej kradzieży danych, utrwalenia obecności w systemie lub wdrożenia kolejnych modułów ataku.

Konsekwencje / ryzyko

Ryzyko dla użytkowników kryptowalut jest bardzo wysokie, ponieważ malware uderza jednocześnie w kilka krytycznych obszarów. Podmiana adresu portfela może prowadzić do natychmiastowej i nieodwracalnej utraty środków. Kradzież frazy seed lub klucza prywatnego oznacza natomiast pełne przejęcie kontroli nad portfelem, niezależnie od późniejszej reinstalacji systemu czy zmiany urządzenia.

Dla organizacji działających w sektorze finansowym, Web3, tradingowym lub korzystających z hot walletów zagrożenie ma szerszy wymiar operacyjny. Kompromitacja stacji roboczej może skutkować długotrwałym dostępem atakującego, eksfiltracją danych pomocniczych oraz rozszerzeniem ataku na kolejne systemy i konta.

Dodatkowym problemem jest możliwość rozprzestrzeniania się malware przez nośniki USB. W środowiskach o słabszej segmentacji sieci i ograniczonej kontroli urządzeń wymiennych może to zwiększać skalę incydentu i utrudniać jego szybkie opanowanie.

Rekomendacje

Podstawową linią obrony powinno być ograniczenie lub całkowite zablokowanie uruchamiania plików .lnk z nośników wymiennych. W organizacjach warto wdrożyć polityki kontroli urządzeń USB, monitorowanie podłączanych nośników oraz zasady ograniczające wykonywanie skryptów i nieautoryzowanych plików.

Z perspektywy detekcji szczególnie ważne są anomalie behawioralne. Na uwagę zasługują nietypowe procesy potomne uruchamiane po otwarciu skrótu, aktywność interpretera skryptów Windows, dostęp do schowka, wykonywanie zrzutów ekranu, tworzenie zadań harmonogramu oraz lokalne użycie portu 9050.

Użytkownicy kryptowalut powinni bezwzględnie weryfikować pełny adres odbiorcy przed zatwierdzeniem transakcji, a nie jedynie kilka pierwszych i ostatnich znaków. Równie istotne jest unikanie przechowywania fraz seed i kluczy prywatnych w formie cyfrowej na codziennie używanych stacjach roboczych.

W praktyce zalecana jest także separacja operacyjna. System używany do pracy biurowej nie powinien być jednocześnie środowiskiem do zarządzania znaczącymi aktywami kryptowalutowymi. W scenariuszach podwyższonego ryzyka warto rozważyć portfele sprzętowe, odseparowane urządzenia i dodatkowe mechanizmy EDR ukierunkowane na kradzież danych ze schowka.

Zespoły SOC i IR powinny przygotować procedury reagowania obejmujące analizę artefaktów na nośnikach USB, identyfikację podmienionych skrótów, przegląd zadań harmonogramu, poszukiwanie śladów komunikacji przez Tor oraz ocenę, czy doszło do ekspozycji fraz seed lub kluczy prywatnych. Jeśli takie dane mogły zostać przejęte, samo usunięcie malware nie wystarczy i konieczna jest migracja środków do nowego, bezpiecznego portfela.

Podsumowanie

Opisana kampania pokazuje, że nowoczesny clipper może łączyć funkcje kradzieży kryptowalut, przechwytywania danych odzyskiwania, monitoringu ekranu oraz zdalnego wykonywania kodu. W efekcie zagrożenie staje się znacznie bardziej niebezpieczne niż tradycyjne malware podmieniające adresy w schowku.

Dla użytkowników indywidualnych i organizacji kluczowe pozostają kontrola nośników wymiennych, ścisła higiena obchodzenia się z frazami seed i kluczami prywatnymi oraz monitorowanie zachowań endpointów, które mogą wskazywać na manipulację schowkiem i aktywność ukrytą za komunikacją przez Tor.

Źródła

1. Tor-Based Clipper Malware Targets Wallet Seed Phrases — https://securityaffairs.com/193860/uncategorized/tor-based-clipper-malware-targets-wallet-seed-phrases.html
2. In hot pursuit of ‘cryware’: Defending hot wallets from attacks | Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2022/05/17/in-hot-pursuit-of-cryware-defending-hot-wallets-from-attacks/
3. Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity | Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/
4. BIPClip: Malicious PyPI packages target crypto wallet recovery passwords — https://www.reversinglabs.com/blog/bipclip-malicious-pypi-packages-target-crypto-wallet-recovery-passwords
5. EthClipper: A Clipboard Meddling Attack on Hardware Wallets with Address Verification Evasion — https://arxiv.org/abs/2108.14004