مایکروسافت جزئیات یک کمپین بدافزار کلیپر مبتنی بر ویندوز با نام CryptoBandits را منتشر کرده است؛ کمپینی که از فوریه 2026 تاکنون کاربران را هدف قرار میدهد. این بدافزار کلیپر با تکیه بر قابلیت انتشار خودکار، رهگیری مداوم دادههای کلیپبورد و استفاده از شبکه ناشناسساز تور (Tor)، اطلاعات مرتبط با کیف پولهای رمزارزی را سرقت میکند و ارتباطات خود را از دید ابزارهای امنیتی پنهان نگه میدارد. به گفته مایکروسافت، این بدافزار با تکیه بر میزبان اسکریپت ویندوز (Windows Script Host یا WScript) و منطق مبتنی بر ActiveX، یک پروکسی تور داخلی را اجرا میکند و بهطور پیوسته با یک سرور فرماندهی و کنترل (C2) مبتنی بر سرویس مخفی ارتباط برقرار میکند. همچنین این بدافزار محتوای کلیپبورد را بهصورت مداوم رصد و سرقت میکند، از صفحه قربانی اسکرینشات تهیه میکند و آدرسهای کیف پول رمزارزی را با آدرسهای تحت کنترل مهاجمان جایگزین میکند.
بدافزار کلیپر CryptoBandits با قابلیت دریافت و اجرای دستورات مهاجم
به گفته مایکروسافت، آنچه این بدافزار را از بسیاری از کلیپرهای رایج متمایز میکند، عدم وابستگی آن به نصبکنندههای متداول یا زیرساختهای فرماندهی و کنترل مبتنی بر آدرس IP است. این بدافزار با استقرار یک نسخه مستقل از تور و هدایت ارتباطات از طریق پروکسی لوکال SOCKS5، فعالیتهای خود را از دید سامانههای امنیتی پنهان میکند. افزون بر این، ترکیب قابلیتهای سرقت اطلاعات با اجرای کد از راه دور (RCE)، این ابزار سرقت رمزارز را به یک بکدور عملیاتی تبدیل کرده است که امکان دریافت و اجرای دستورات مهاجم را نیز فراهم میکند.
بدافزار کلیپر به دستهای از بدافزارها گفته میشود که بهصورت مخفیانه محتوای کلیپبورد کاربران را مانیتور کرده و دادههای حساسی را که در این حافظه موقت ذخیره یا کپی میشوند، رهگیری میکنند. این بدافزارها عمدتاً تراکنشهای رمزارزی را هدف قرار میدهند و پس از شناسایی آدرس کیف پولهایی که با الگوهای شناختهشده بلاکچین همخوانی دارند، آنها را با آدرسهای تحت کنترل مهاجمان جایگزین میکنند. در نتیجه، داراییهای دیجیتال قربانی بهجای مقصد موردنظر، به کیف پول مهاجم منتقل میشود.
نحوه آغاز زنجیره آلودگی
این حملات از طریق توزیع یک فایل میانبر مخرب ویندوز (LNK) در حافظههای ذخیرهسازی USB انجام میشوند. با اجرای این فایل، یک کامپوننت کرم (Worm) فعال شده و ابتدا بررسی میکند که آیا سیستم پیشتر آلوده شده است یا خیر. در صورتی که نشانهای از آلودگی موجود نباشد، این کامپوننت اقدام به دریافت پیلود از یک سرور راه دور میکند. در مرحله بعد، کامپوننت دیگری با نقش کلیپر روی سیستم مستقر میشود که وظیفه جمعآوری، سرقت و استخراج اطلاعات مرتبط با کیف پولهای رمزارزی و ارسال آنها به زیرساخت مهاجم را بر عهده دارد.
فریب کاربر با پنهانسازی فایلهای واقعی
پیلود مبتنی بر فایل LNK، حافظه USB را برای یافتن انواع رایج اسناد از جمله فایلهای DOC، XLSX و PDF اسکن میکند. در صورت شناسایی این فایلها، بدافزار کلیپر آنها را مخفی کرده و بهجای آنها فایلهای LNK جدید با همان نام ایجاد میکند. این فایلها حاوی آرگومانهایی هستند که اجرای آنها به کامپوننت کرم منتهی میشود. در نتیجه، زمانی که کاربر بدون اطلاع از ماهیت مخرب فایل، میانبر را با تصور باز کردن یک سند عادی اجرا میکند، زنجیره آلودگی فعال شده و بدافزار روی سیستم اجرا میشود.
پایداری و فرار از شناسایی در بدافزار کلیپر
کامپوننت کرم علاوه بر تضمین انتشار بدافزار به سایر حافظههای USB که هنوز آلوده نشدهاند، برای حفظ پایداری (Persistence) روی سیستم نیز اقدام به ایجاد تسک زمانبندیشده (Scheduled Tasks) میکند. این مکانیزم باعث میشود هم کامپوننت کرم و هم کامپوننت سرقت اطلاعات پس از راهاندازی مجدد سیستم همچنان فعال باقی بمانند.
از سوی دیگر، بدافزار کلیپر برای تعامل با سیستمعامل از میزبان اسکریپت ویندوز یا به عبارتی WScript و ActiveXObject استفاده میکند. همچنین این بدافزار بهمنظور فرار از شناسایی، فهرست پردازههای در حال اجرا را بررسی کرده و در صورتی که مدیر تسکهای ویندوز را شناسایی کند، به فعالیت خود خاتمه میدهد.
مرحله نهایی
در آخرین مرحله، بدافزار کلیپر یک باینری تغییرنامیافته تور را در یک پنجره مخفی اجرا کرده، یک شناسه منحصربهفرد برای قربانی تولید میکند و آن را در سرور خارجی ثبت میکند. پس از تکمیل این مرحله، بدافزار وارد یک لوپ اجرایی پیوسته (Continuous Loop) میشود و بهصورت دورهای سرور C2 را برای دریافت دستورات جدید بررسی میکند. همزمان، محتوای کلیپبورد را تقریباً هر 500 میلیثانیه مانیتور میکند تا عبارات بازیابی کیف پول (Seed Phrases) و کلیدهای خصوصی را شناسایی و استخراج کند.
توانمندیهای عملیاتی این بدافزار
طبق گزارش مایکروسافت، این بدافزار کلیپر با جایگزین کردن آدرسهای کیف پول رمزارزی کپیشده در کلیپبورد با آدرسهای تحت کنترل مهاجم، مسیر انتقال داراییهای دیجیتال را به نفع عاملان تهدید تغییر میدهد. همچنین اسکرینشاتها را از طریق شبکه ناشناسساز تور به زیرساخت مهاجمان ارسال میکند.
علاوه بر این، در صورتی که سرور C2 پاسخی از نوع EVAL ارسال کند، بدافزار قادر است کدهای ارسالی مهاجم را در زمان اجرا (Runtime) روی سیستم قربانی اجرا کند؛ قابلیتی که دامنه عملکرد آن را فراتر از یک کلیپر معمولی گسترش میدهد.
توصیههای دفاعی مایکروسافت برای شناسایی و مهار تهدید
مایکروسافت به تیمهای دفاعی و امنیتی توصیه کرده است بهجای اتکا به امضاهای ایستا، شناسایی مبتنی بر عملکرد را در اولویت قرار دهند. این شرکت بهطور ویژه بر شناسایی فعالیتهای مشکوکی تأکید کرده است که شامل ثبت اسکرینشات از طریق پاورشل (PowerShell) و همچنین استفاده از WScript، CScript یا سایر موتورهای اجرای اسکریپت (Script Engines) برای راهاندازی ابزارهایی مانند curl، cmd.exe، PowerShell و دیگر فایلهای اجرایی مشکوک میشود.
علاوه بر این، مایکروسافت برای کاهش ریسک ناشی از بدافزار کلیپر، اقدامات زیر را توصیه کرده است:
- قابلیتهای AutoRun و AutoPlay برای تمامی رسانههای قابلانتقال(removable media) غیرفعال شود.
- اجرای فایلهای LNK از درایوهای USB و سایر رسانههای قابلانتقال با استفاده از سیاستهای گروهی (GPO) مسدود شود.
- استفاده غیرضروری از exe و cscript.exe محدود گردد.
- فعالیتهای مرتبط با کلیپبورد و ثبت اسکرینشات در سیستمهای مرتبط با گردشکارهای (Workflows) مالی حساس، بهطور مداوم مانیتور شود.