خانه » مایکروسافت جزئیات کمپین بدافزار کلیپر ویندوزی با قابلیت انتشار خودکار از طریق USB و زیرساخت فرماندهی و کنترل مبتنی بر تور را افشا کرد

مایکروسافت جزئیات کمپین بدافزار کلیپر ویندوزی با قابلیت انتشار خودکار از طریق USB و زیرساخت فرماندهی و کنترل مبتنی بر تور را افشا کرد

توسط Vulnerbyte_News
13 بازدید

مایکروسافت جزئیات یک کمپین بدافزار کلیپر مبتنی بر ویندوز با نام CryptoBandits را منتشر کرده است؛ کمپینی که از فوریه 2026 تاکنون کاربران را هدف قرار می‌دهد. این بدافزار کلیپر با تکیه بر قابلیت انتشار خودکار، رهگیری مداوم داده‌های کلیپ‌بورد و استفاده از شبکه ناشناس‌ساز تور (Tor)، اطلاعات مرتبط با کیف پول‌های رمزارزی را سرقت می‌کند و ارتباطات خود را از دید ابزارهای امنیتی پنهان نگه می‌دارد. به گفته مایکروسافت، این بدافزار با تکیه بر میزبان اسکریپت ویندوز (Windows Script Host یا WScript) و منطق مبتنی بر ActiveX، یک پروکسی تور داخلی را اجرا می‌کند و به‌طور پیوسته با یک سرور فرماندهی و کنترل (C2) مبتنی بر سرویس مخفی ارتباط برقرار می‌کند. همچنین این بدافزار محتوای کلیپ‌بورد را به‌صورت مداوم رصد و سرقت می‌کند، از صفحه قربانی اسکرین‌شات تهیه می‌کند و آدرس‌های کیف پول رمزارزی را با آدرس‌های تحت کنترل مهاجمان جایگزین می‌کند.

بدافزار کلیپر CryptoBandits با قابلیت دریافت و اجرای دستورات مهاجم

به گفته مایکروسافت، آنچه این بدافزار را از بسیاری از کلیپرهای رایج متمایز می‌کند، عدم وابستگی آن به نصب‌کننده‌های متداول یا زیرساخت‌های فرماندهی و کنترل مبتنی بر آدرس IP است. این بدافزار با استقرار یک نسخه مستقل از تور و هدایت ارتباطات از طریق پروکسی لوکال SOCKS5، فعالیت‌های خود را از دید سامانه‌های امنیتی پنهان می‌کند. افزون بر این، ترکیب قابلیت‌های سرقت اطلاعات با اجرای کد از راه دور (RCE)، این ابزار سرقت رمزارز را به یک بکدور عملیاتی تبدیل کرده است که امکان دریافت و اجرای دستورات مهاجم را نیز فراهم می‌کند.

بدافزار کلیپر به دسته‌ای از بدافزارها گفته می‌شود که به‌صورت مخفیانه محتوای کلیپ‌بورد کاربران را مانیتور کرده و داده‌های حساسی را که در این حافظه موقت ذخیره یا کپی می‌شوند، رهگیری می‌کنند. این بدافزارها عمدتاً تراکنش‌های رمزارزی را هدف قرار می‌دهند و پس از شناسایی آدرس کیف پول‌هایی که با الگوهای شناخته‌شده بلاکچین همخوانی دارند، آن‌ها را با آدرس‌های تحت کنترل مهاجمان جایگزین می‌کنند. در نتیجه، دارایی‌های دیجیتال قربانی به‌جای مقصد موردنظر، به کیف پول مهاجم منتقل می‌شود.

نحوه آغاز زنجیره آلودگی

این حملات از طریق توزیع یک فایل میانبر مخرب ویندوز (LNK) در حافظه‌های ذخیره‌سازی USB انجام می‌شوند. با اجرای این فایل، یک کامپوننت کرم (Worm) فعال شده و ابتدا بررسی می‌کند که آیا سیستم پیش‌تر آلوده شده است یا خیر. در صورتی که نشانه‌ای از آلودگی موجود نباشد، این کامپوننت اقدام به دریافت پیلود از یک سرور راه دور می‌کند. در مرحله بعد، کامپوننت دیگری با نقش کلیپر روی سیستم مستقر می‌شود که وظیفه جمع‌آوری، سرقت و استخراج اطلاعات مرتبط با کیف پول‌های رمزارزی و ارسال آن‌ها به زیرساخت مهاجم را بر عهده دارد.

فریب کاربر با پنهان‌سازی فایل‌های واقعی

پیلود مبتنی بر فایل LNK، حافظه USB را برای یافتن انواع رایج اسناد از جمله فایل‌های DOC، XLSX و PDF اسکن می‌کند. در صورت شناسایی این فایل‌ها، بدافزار کلیپر آن‌ها را مخفی کرده و به‌جای آن‌ها فایل‌های LNK جدید  با همان نام ایجاد می‌کند. این فایل‌ها حاوی آرگومان‌هایی هستند که اجرای آن‌ها به کامپوننت کرم منتهی می‌شود. در نتیجه، زمانی که کاربر بدون اطلاع از ماهیت مخرب فایل، میانبر را با تصور باز کردن یک سند عادی اجرا می‌کند، زنجیره آلودگی فعال شده و بدافزار روی سیستم اجرا می‌شود.

پایداری و فرار از شناسایی در بدافزار کلیپر

کامپوننت کرم علاوه بر تضمین انتشار بدافزار به سایر حافظه‌های USB که هنوز آلوده نشده‌اند، برای حفظ پایداری (Persistence) روی سیستم نیز اقدام به ایجاد تسک زمان‌بندی‌شده (Scheduled Tasks) می‌کند. این مکانیزم باعث می‌شود هم کامپوننت کرم و هم کامپوننت سرقت اطلاعات پس از راه‌اندازی مجدد سیستم همچنان فعال باقی بمانند.

از سوی دیگر، بدافزار کلیپر برای تعامل با سیستم‌عامل از میزبان اسکریپت ویندوز یا به عبارتی WScript و ActiveXObject استفاده می‌کند. همچنین این بدافزار به‌منظور فرار از شناسایی، فهرست پردازه‌های در حال اجرا را بررسی کرده و در صورتی که مدیر تسک‌های ویندوز را شناسایی کند، به فعالیت خود خاتمه می‌دهد.

مرحله نهایی

در آخرین مرحله، بدافزار کلیپر یک باینری تغییرنام‌یافته تور را در یک پنجره مخفی اجرا کرده، یک شناسه منحصربه‌فرد برای قربانی تولید می‌کند و آن را در سرور خارجی ثبت می‌کند. پس از تکمیل این مرحله، بدافزار وارد یک لوپ اجرایی پیوسته (Continuous Loop) می‌شود و به‌صورت دوره‌ای سرور C2 را برای دریافت دستورات جدید بررسی می‌کند. هم‌زمان، محتوای کلیپ‌بورد را تقریباً هر 500 میلی‌ثانیه مانیتور می‌کند تا عبارات بازیابی کیف پول (Seed Phrases) و کلیدهای خصوصی را شناسایی و استخراج کند.

توانمندی‌های عملیاتی این بدافزار

طبق گزارش مایکروسافت، این بدافزار کلیپر با جایگزین کردن آدرس‌های کیف پول رمزارزی کپی‌شده در کلیپ‌بورد با آدرس‌های تحت کنترل مهاجم، مسیر انتقال دارایی‌های دیجیتال را به نفع عاملان تهدید تغییر می‌دهد. همچنین اسکرین‌شات‌ها را از طریق شبکه ناشناس‌ساز تور به زیرساخت مهاجمان ارسال می‌کند.

علاوه بر این، در صورتی که سرور C2 پاسخی از نوع EVAL ارسال کند، بدافزار قادر است کدهای ارسالی مهاجم را در زمان اجرا (Runtime) روی سیستم قربانی اجرا کند؛ قابلیتی که دامنه عملکرد آن را فراتر از یک کلیپر معمولی گسترش می‌دهد.

توصیه‌های دفاعی مایکروسافت برای شناسایی و مهار تهدید

مایکروسافت به تیم‌های دفاعی و امنیتی توصیه کرده است به‌جای اتکا به امضاهای ایستا، شناسایی مبتنی بر عملکرد را در اولویت قرار دهند. این شرکت به‌طور ویژه بر شناسایی فعالیت‌های مشکوکی تأکید کرده است که شامل ثبت اسکرین‌شات از طریق پاورشل (PowerShell) و همچنین استفاده از WScript، CScript یا سایر موتورهای اجرای اسکریپت (Script Engines) برای راه‌اندازی ابزارهایی مانند curl، cmd.exe، PowerShell و دیگر فایل‌های اجرایی مشکوک می‌شود.

علاوه بر این، مایکروسافت برای کاهش ریسک ناشی از بدافزار کلیپر، اقدامات زیر را توصیه کرده است:

  • قابلیت‌های AutoRun و AutoPlay برای تمامی رسانه‌های قابل‌انتقال(removable media) غیرفعال شود.
  • اجرای فایل‌های LNK از درایوهای USB و سایر رسانه‌های قابل‌انتقال با استفاده از سیاست‌های گروهی (GPO) مسدود شود.
  • استفاده غیرضروری از exe و cscript.exe محدود گردد.
  • فعالیت‌های مرتبط با کلیپ‌بورد و ثبت اسکرین‌شات در سیستم‌های مرتبط با گردش‌کارهای (Workflows) مالی حساس، به‌طور مداوم مانیتور شود.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید