Пријави инцидент
Пријави инцидент

Microsoft откри кампања со Windows Clipper малициозен софтвер што користи USB LNK црв и Tor-базирана C2 инфраструктура

Објавено: 19.06.2026

Microsoft објави детали за кампања со Windows-базиран „clipper“ малициозен софтвер насочена кон корисници од февруари 2026 година. Кампањата користи малициозен код што ја следи содржината на clipboard-от (привремената меморија за копирани податоци), има способност за самостојно ширење и го користи Tor анонимниот мрежен систем за сокривање на комуникацијата со командно-контролните (C2) сервери.

„Clipper-от во оваа кампања се потпира на Windows Script Host и ActiveX логика за да стартува вклучен Tor прокси и да комуницира со скриен C2 сервер преку Tor мрежата“, соопшти тимот за истражување на Microsoft Defender Security.

„Малициозниот софтвер врши високофреквентна кражба на податоци од clipboard-от, ексфилтрација на снимки од екранот и замена на адреси на криптовалутни паричници.“

Истражувачите додаваат дека извршувањето на овој clipper е особено интересно бидејќи не зависи од традиционален инсталер или од јавно достапна C2 инфраструктура базирана на IP адреси.

„Наместо тоа, тој инсталира пренослив Tor клиент, го насочува сообраќајот преку локален SOCKS5 прокси и комбинира кражба на податоци со можност за далечинско извршување на код, претворајќи го финансиски мотивираниот крадец на податоци во лесна задна врата (backdoor).“

Што е Clipper малициозен софтвер?

Clipper е вид на малициозен софтвер кој тивко го следи clipboard-от на корисникот и ги пресретнува чувствителните податоци што се копираат или вметнуваат.

Најчесто е насочен кон трансакции со криптовалути. Кога корисникот ќе копира адреса на криптовалутен паричник, малициозниот софтвер ја заменува со адреса контролирана од напаѓачите, пренасочувајќи ги средствата кон нивна сметка без знаење на жртвата.

Напад преку USB уреди и LNK датотеки

Нападите започнуваат со дистрибуција на малициозна Windows Shortcut (LNK) датотека преку USB мемориски уреди.

Кога корисникот ќе ја отвори LNK датотеката, се активира компонента на црв (worm) која проверува дали компјутерот веќе е заразен. Доколку не е, таа презема дополнителен малициозен товар (payload) од оддалечен сервер.

Вториот модул што се инсталира е clipper-компонентата, чија задача е да собира и испраќа информации за криптовалутни паричници кон напаѓачите.

Како се шири малициозниот софтвер?

LNK компонентата го скенира USB уредот во потрага по вообичаени типови документи, како што се:

  • DOC
  • XLSX
  • PDF

Доколку ги пронајде, ги сокрива оригиналните датотеки и создава нови LNK кратенки со истите имиња како оригиналните документи.

Овие кратенки содржат параметри што ја активираат компонентата на црвот. Како резултат на тоа, кога корисникот мисли дека отвора обичен документ, всушност го извршува малициозниот софтвер и го инфицира системот.

Компонентата на црвот (worm), покрај тоа што обезбедува ширење кон други незаразени USB уреди, креира и закажани задачи (Scheduled Tasks) како механизам за трајно присуство (persistence) на системот, и за компонентата на црвот и за компонентата за кражба на податоци.

Clipper-модулот, од своја страна, користи WScript и ActiveXObject за интеракција со оперативниот систем. Дополнително, тој автоматски се исклучува доколку забележи дека Task Manager е меѓу активните процеси, со цел да ја избегне детекцијата од страна на корисникот или безбедносните алатки.

Во последната фаза од нападот, малициозниот софтвер стартува преименувана Tor извршна датотека во скриен прозорец, генерира единствен идентификатор за жртвата и го регистрира кај надворешниот сервер.

Откако ќе се заврши овој процес, малициозниот софтвер влегува во постојан циклус на работа, при што периодично го контактира командно-контролниот (C2) сервер за нови инструкции, а истовремено го следи clipboard-от на секои приближно 500 милисекунди со цел да извлече:

  • seed фрази за криптовалутни паричници,
  • приватни криптографски клучеви,
  • адреси на криптовалутни паричници.

„Малициозниот софтвер исто така ги презема криптовалутните трансакции така што ги заменува копираните адреси на паричници со адреси контролирани од напаѓачите и испраќа снимки од екранот преку Tor мрежата“, наведува Microsoft.

„Доколку C2 серверот врати EVAL команда, малициозниот софтвер извршува код обезбеден од напаѓачот во реално време.“

Препораки од Microsoft

Microsoft препорачува безбедносните тимови да се фокусираат на детекција базирана на однесување (behavioral detection), наместо само на статички потписи на малициозен софтвер.

Особено треба да се следат:

  • PowerShell активности поврзани со снимање на екранот;
  • користење на WScript, CScript и слични скрипт-мотори;
  • стартување на curl, cmd.exe, PowerShell или други неочекувани извршни датотеки преку скрипти.

Дополнителни мерки за заштита вклучуваат:

  • оневозможување на AutoRun и AutoPlay за сите преносливи медиуми;
  • блокирање на извршување на LNK датотеки од USB уреди преку Group Policy Objects (GPO);
  • ограничување на непотребната употреба на wscript.exe и cscript.exe;
  • внимателно следење на активности поврзани со clipboard-от и снимањето на екранот на системи кои обработуваат чувствителни финансиски податоци или криптовалутни трансакции.

Извори:

  • The Hacker News – Microsoft Details Windows Clipper Malware Campaign Using USB LNK Worm and Tor-Based C2 The Hacker News