Microsoft проанализировала кампанию Crypto Clipper, которая следит за буфером обмена и заменяет адрес криптовалютного кошелька на адрес атакующего. Однако функциональность не заканчивается кражей перевода: Tor используется для управления, механизмы persistence переживают перезапуск, а worm-like propagation расширяет охват.

Почему классификация важна

Если реагирование ограничить очисткой clipboard watcher-а, можно пропустить сохраняющийся канал управления. Наличие лёгкого backdoor означает возможность дополнительной нагрузки, кражи данных и повторного входа после формальной очистки.

CLIPBOARDподмена назначения транзакции
TORскрытый канал управления
WORMраспространение расширяет инцидент

Detection engineering

  • Отслеживать процессы, часто читающие clipboard без очевидной пользовательской функции.
  • Коррелировать запуск Tor-компонентов с появлением persistence и сетевыми аномалиями.
  • Искать массовое создание копий, запуск с removable media и lateral movement-паттерны.
  • Контролировать изменения Run keys, scheduled tasks, startup folders и пользовательских service entries.
  • Для криптовалютных операций использовать address allowlist и out-of-band проверку назначения.
Рекомендация SOC: обнаружение подмены адреса должно автоматически инициировать сбор process tree, persistence artefacts и сетевой телеметрии. Иначе расследование фиксирует только видимый симптом.

Границы очистки

После подтверждения заражения следует изолировать систему, определить все узлы, которых коснулся механизм распространения, и считать кошельки и credentials из пользовательской сессии потенциально раскрытыми. Финальный критерий закрытия — чистый ретест persistence, сети и путей распространения.

Первоисточник: Microsoft Threat Intelligence — Crypto Clipper. Virusologia не публикует вредоносные образцы и эксплуатационные инструкции.