През февруари 2026 г. Microsoft разкри нова мащабна кампания с Windows Clipper зловреден софтуер, насочена към потребители на криптовалути. Този тип зловреден софтуер е специално проектиран да променя криптовалутни адреси в клипборда на жертвите, като по този начин пренасочва транзакциите към контролирани от нападателите портфейли.
Какво представлява кампанията?
Според анализа на Microsoft Defender Security Research Team, зловредният софтуер използва Windows Script Host и ActiveX компоненти, за да стартира вградена Tor прокси услуга. Тази прокси позволява на зловредния код да комуникира с командно-контролен (C2) сървър, който е скрит в Tor мрежата. По този начин нападателите могат да управляват и актуализират зловредния софтуер дистанционно, като същевременно затрудняват проследяването на комуникацията.
Освен това, кампанията използва USB устройства, които разпространяват зловредния код чрез Windows LNK (shortcut) файлове. Тази техника позволява автоматичното изпълнение на зловредния софтуер при свързване на заразено USB устройство към компютър, което значително увеличава разпространението и ефективността на атаката.
Защо това е важно?
Криптовалутите стават все по-популярни като средство за разплащане и инвестиция, което ги превръща в атрактивна цел за киберпрестъпници. Clipper зловредният софтуер е особено опасен, защото жертвите често не забелязват, че адресът за плащане е променен, което води до загуба на средства.
Използването на Tor мрежата за комуникация с C2 сървъра усложнява усилията на специалистите по киберсигурност да проследят и блокират атаките, което увеличава риска за потребителите и компаниите, които работят с криптовалути.
По-широк контекст
Този случай е част от по-широка тенденция на използване на сложни техники за разпространение и управление на зловреден софтуер, които включват легитимни системни компоненти и анонимни мрежи като Tor. Тези методи затрудняват откриването и премахването на заплахите, което налага по-голямо внимание към превантивните мерки и обучението на потребителите.
Също така, използването на USB устройства като вектор за атака напомня за необходимостта от строги политики за контрол на външни носители в корпоративна среда, както и за повишена бдителност при работа с непознати устройства.
Какво може да последва?
Очаква се зловредните кампании от този тип да продължат да се развиват и да използват все по-усъвършенствани техники за прикриване и разпространение. За да се противодейства ефективно, компаниите и потребителите трябва да инвестират в модерни решения за киберсигурност, които включват поведенчески анализ и мониторинг на мрежовия трафик.
Обучението на потребителите за рисковете от използване на USB устройства и внимателното проверяване на криптовалутните адреси преди извършване на транзакции също са ключови мерки за намаляване на риска от загуба на средства.
В заключение, разкриването на тази кампания от Microsoft подчертава необходимостта от постоянен мониторинг и адаптация на защитните механизми в условията на бързо развиващите се киберзаплахи, особено в сферата на криптовалутите.
