Microsoft heeft details bekendgemaakt van een op Windows gebaseerde cryptocurrency clipper-campagne die zich sinds februari 2026 op gebruikers richt.
“De clipper in deze campagne vertrouwt op Windows Script Host en ActiveX-gestuurde logica om een gebundelde Tor-proxy te lanceren en een verborgen C2-server (command-and-control) te pollen”, aldus het Microsoft Defender Security Research Team in een dinsdag gepubliceerde analyse. “Het voert hoogfrequente klemborddiefstal, screenshot-exfiltratie en vervanging van portemonnee-adressen uit.”
“De uitvoering van deze clipper is opmerkelijk omdat deze niet afhankelijk is van een traditioneel installatieprogramma of een blootgestelde IP-gebaseerde C2-infrastructuur. In plaats daarvan wordt een draagbare Tor-client ingezet, wordt het verkeer via een lokale SOCKS5-proxy gerouteerd en wordt datadiefstal gecombineerd met het uitvoeren van code op afstand, waardoor een financieel gemotiveerde dief in een lichtgewicht achterdeur verandert.”
Clipper-malware verwijst naar een soort kwaadaardige software die in stilte het klembord van een gebruiker in de gaten houdt en gevoelige gegevens onderschept die in de kortetermijnbuffer worden geplakt. Het richt zich primair op cryptocurrency-transacties door portemonnee-adresreeksen te vervangen die overeenkomen met bekende blockchain-adrespatronen om deze om te leiden naar adressen die onder hun controle staan.
Bij de aanvallen wordt een kwaadaardig Windows Shortcut-bestand (LNK) verspreid via USB-opslagapparaten, waarna een wormcomponent wordt geactiveerd die controleert of de machine al is geïnfecteerd en pas verdergaat met het ophalen van de lading van een externe server als deze niet aanwezig is. Een tweede module die wordt ingezet, is de clipper die cryptocurrency-portemonnee-informatie verzamelt en exfiltreert.
De LNK-payload scant het USB-apparaat op algemene documenttypen zoals DOC, XLSX en PDF, en verbergt deze, indien gevonden, en creëert nieuwe LNK-bestanden met dezelfde bestandsnamen en met argumenten die verwijzen naar de wormcomponent. Wanneer een nietsvermoedende gebruiker de snelkoppeling start in de veronderstelling dat hij een onschadelijk document opent, wordt de uitvoering van de malware geactiveerd.
De wormcomponent zorgt niet alleen voor verspreiding naar andere compromisloze USB-drives, maar zet ook geplande taken in als een vorm van volharding voor zowel de wormcomponent als de stealercomponent. De clipper op zijn beurt gebruikt WScript en ActiveXObject om met het besturingssysteem te communiceren, en wordt afgesloten als Taakbeheer op de lijst staat van actief lopende processen om detectie te omzeilen.
In de laatste fase lanceert de malware een hernoemd Tor-binair bestand in een verborgen venster, genereert een unieke slachtoffer-ID en registreert deze bij de externe server. Zodra deze stap is voltooid, komt de malware in een continue lus terecht, waarbij de C2-server periodiek om instructies wordt gevraagd, terwijl tegelijkertijd het klembord ongeveer elke 500 milliseconden wordt gecontroleerd om zaadzinnen en privésleutels te extraheren.
“Het kaapt ook cryptocurrency-adressen door gekopieerde portefeuillewaarden te vervangen door door de aanvaller gecontroleerde alternatieven en uploadt screenshots via Tor”, aldus Microsoft. “Als de C2 een EVAL-reactie retourneert, voert de malware tijdens runtime door de aanvaller aangeleverde code uit.”
De technologiegigant heeft aanbevolen dat verdedigers prioriteit geven aan gedragsdetecties boven statische handtekeningen, met name op zoek naar op PowerShell gebaseerde schermopname en het gebruik van WScript, CScript of gerelateerde scriptengines voor het starten van curl, cmd.exe, PowerShell of onverwachte uitvoerbare bestanden.
Andere oplossingen zijn onder meer het uitschakelen van AutoRun/AutoPlay voor alle verwisselbare media, het blokkeren van LNK-uitvoering vanaf verwisselbare schijven via Group Policy Objects (GPO’s), het beperken van onnodig gebruik van wscript.exe of cscript.exe, en het beoordelen van klembordgerelateerd gedrag en schermopnamegedrag op apparaten die gevoelige financiële workflows verwerken.
