Криптоклиппер на Windows: новый штамм использует Tor и скрытый C2 для кражи криптовалютных активов

information security

С февраля 2026 года специалисты Microsoft Threat Intelligence и Microsoft Defender Experts фиксируют активность вредоносной программы для Windows, нацеленной на кражу криптовалют через буфер обмена. Этот клиппер представляет серьёзную угрозу для владельцев цифровых активов, особенно для пользователей, работающих с Bitcoin, Ethereum, Monero и Tron. Зловред не только похищает seed-фразы и приватные ключи, но и подменяет адреса кошельков в реальном времени, что может привести к прямым финансовым потерям.

Описание

В основе атаки лежит исполнение через Windows Script Host и ActiveX-объекты. Вредонос запускает встроенный Tor-клиент и устанавливает соединение с командным сервером, размещённым в скрытой сети .onion. Отказ от традиционного установщика и IP-адресуемой инфраструктуры делает данный образец особенно сложным для анализа. Трафик маршрутизируется через локальный SOCKS5-прокси на порту 9050, что позволяет скрыть конечную цель и затруднить блокировку на сетевом уровне.

Предоставленные данные Microsoft Threat Intelligence описывают полную цепочку компрометации. Первоначальное заражение происходит через вредоносные файлы-ярлыки (.lnk), которые распространяются на USB-накопителях. При открытии такого ярлыка на устройство загружаются два основных компонента: червь и стилер. Червь отвечает за распространение: он создаёт копии вредоносных ярлыков для всех обнаруженных на носителе легитимных документов (Word, Excel, PDF), скрывая оригинальные файлы. Пользователь, видя знакомое имя файла, запускает исполняемый код, думая, что открывает документ.

После выполнения червь исключает папки и используемые бинарные файлы из проверки Microsoft Defender Antivirus, а затем распаковывает два зашифрованных JavaScript-файла в подкаталог внутри "C:\Users\Public\Documents". Имена каталога и скриптов состоят из пяти символов. Для обеспечения постоянства в системе создаются две бессрочные задачи планировщика: одна для повторного заражения свежих USB-накопителей, другая - для активности стилера.

Все компоненты зловреда защищены многослойной обфускацией. Установочный скрипт написан на Python, обфусцирован с помощью PyArmor и упакован в исполняемый файл через PyInstaller. Два JavaScript-пейлоуда дополнительно обфусцированы в два слоя, что практически сводит на нет статическое обнаружение. Также реализована базовая антианалитическая проверка: зловред опрашивает класс Win32_Process через WMI и прекращает выполнение, если в списке процессов обнаружен Task Manager. Хотя этот механизм прост, он может замедлить ручной анализ на начальном этапе.

После запуска клиппер ожидает около 60 секунд, пока Tor-клиент (переименованный в ugate.exe) установит соединение. Затем генерируется уникальный идентификатор жертвы GUID, и устройство регистрируется на C2. Далее начинается основной цикл: с интервалом примерно 500 миллисекунд программа опрашивает буфер обмена на предмет seed-фраз из 12 или 24 слов BIP39, приватных ключей Ethereum и Bitcoin WIF, а также адресов криптокошельков. Обнаруженные данные сохраняются локально, передаются на сервер через Tor и удаляются после подтверждения получения.

Параллельно зловред делает пять скриншотов экрана с интервалом в десять секунд. Скриншоты загружаются асинхронно на C2 через эндпоинт "/recvf.php". Они дают злоумышленнику дополнительный контекст - остатки на счетах и установленные приложения. Для загрузки скриншотов и отправки похищенных данных используется curl с POST-запросами, аутентификация происходит по GUID и геолокационному коду GEIP.

Критической функцией является подмена адресов кошельков. Когда пользователь копирует в буфер обмена, например, Bitcoin-адрес, начинающийся с "1" или "3", зловред заменяет его на адрес злоумышленника с теми же первыми двумя символами. Для адресов Bitcoin Bech32 (начинаются с "bc1q") заменяется только последний символ, а для Taproot ("bc1p") - также последний. Для Monero (начинается с "4" или "8", длина 95 символов) подстановка выполняется на один фиксированный адрес. Для Tron ("T", 34 символа) заменяются первые два символа.

Если командный сервер возвращает команду EVAL, зловред выполняет произвольный JScript-код, получая возможность удалённого выполнения команд. Это превращает финансово мотивированный стилер в полноценный бэкдор: атакующий может загрузить дополнительную полезную нагрузку, расширить контроль или закрепиться в системе.

Для защиты от подобных угроз Microsoft рекомендует обращать внимание на поведенческие индикаторы: появление процессов-интерпретаторов скриптов (wscript.exe, cscript.exe), дочерние процессы которых выглядят подозрительно; использование локального прокси localhost:9050; выполнение команд curl с необычными аргументами; скриншоты через PowerShell; активность замены адресов в буфере обмена. Microsoft Defender for Endpoint детектирует компоненты этой угрозы как Suspicious JavaScript process и Possible data exfiltration using Curl, а Microsoft Defender Antivirus распознаёт зловред под именем Trojan: Win32/CryptoBandits.A.

Данный инцидент демонстрирует, как лёгкие скриптовые стилеры при анонимизации связи и удалённом управлении могут наносить существенный финансовый ущерб. Организациям стоит ужесточить политики выполнения скриптов, контролировать использование локальных SOCKS-прокси и внедрить поведенческую охоту, связывающую активность скриптов с сетевыми, буферными и процессными сигналами. Такой подход позволяет выявить угрозу до того, как злоумышленник успеет вывести средства.

Индикаторы компрометации

Onion Domains

  • 7goms4byw26kkbaanz5a5u5234gusot7rp5imzc3ozh66wwcvmcudjid.onion
  • cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion
  • facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion
  • gfoqsewps57xcyxoedle2gd53o6jne6y5nq5eh25muksqwzutzq7b3ad.onion
  • he5vnov645txpcv57el2theky2elesn24ebvgwfoewlpftksxp4fnxad.onion
  • ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion
  • j3bv7g27oramhbxxuv6gl3dcyfmf44qnvju3offdyrap7hurfprq74qd.onion
  • lyhizqy2js2eh6ufngkbzntouiikdek5zsdj3qwa22b4z6knpqorgiad.onion
  • shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid.onion
  • wt26llpl5k6gok3vnaxmucwgzv2wk3l7nuibbh25clghrtus3p5ctsid.onion

SHA256

  • 0020d23b0f9c5e6851a7f737af73fd143175ee47054931166369edd93338538a
  • 100407796028bf3649752d9d2a67a0e4394d752eb8de86daa42920e814f3fae8
  • 20db98af3037b197c8a846dbf17b87fc6f049c3e0d9a188f9b9a74d3916dd5e1
  • 23c1e673f315dafa14b73034a90dd3d393a984451ff6601b8be8142be6487b43
  • 35a6bc44b176a050fd6824904b7604f0f45b0fdfa26bf9500b9e05973b387cfd
  • 67fc5cf395e28294bbb91ed0e954fdf2e80ebd9119022a115a42c286dc8bacf5
  • 7630debd35cac6b7d58c4427695579b3e3a8b1cc462f523234cd6c698882a68c
  • 7787a9a7d8ae393aa32f257d083903c4dc9b97a1e5b0458c4cd480d4f3cb5b05
  • 9d90f54ae36c6c5435d5b8bed40faf54cc91f6db28574a6310b5ffaeb0362e96
  • a7abf1d9d6686af1cefcd60b17a312e7eb8cfe267def1ec34aeab6128c811630
  • b2777b73a4c33ac6a409d475057843be6b5d32262ef28a1f1ff5bb52e3834c5f
  • c824630154ac4fdfce94ded01f037c305eab51e9bef3f493c60ff3184a640502
  • cf9fc891ea5ca5ecd8113ef3e69f6f52ff538b6cccbdaa9559106fc72bc6da30
  • d14b80cbd1a19d4ad0473a0661297f8fdf598e81ff6c4ab24e212dcad2e54b3f
  • d43bf94f0cb0ab97c88113b7e07d1a4024d1610617b5ad05882b1dbab89e15ba
  • f3b54984caca95fd496bcfe5d7db1611b08d2f5b7d250b43b430e5d76393f9e0

Комментарии: 0