這篇分析將帶領大家了解近期微軟揭露的一種針對加密貨幣使用者的惡意軟體攻擊。這類攻擊被稱為 Clipper,其核心目的非常單純:在使用者複製加密貨幣錢包地址時,偷偷將其替換成攻擊者的地址,讓受害者在轉帳時將資金直接發送到對方的口袋裡。
這次的攻擊手法之所以值得工程師關注,是因為它結合了傳統的 USB 傳播方式,以及現代化的隱匿通訊機制。
傳播路徑與 LNK 快捷方式陷阱
這次攻擊的起點是 USB 隨身碟。攻擊者利用了 Windows 的 LNK 快捷方式文件來觸發惡意代碼。
具體操作是這樣的:惡意軟體會掃描 USB 裝置中的常見文件,例如 Word、Excel 或 PDF。一旦發現這些文件,它會將原文件隱藏起來,並在同一路徑下創建一個檔名完全相同、但實際上是 LNK 快捷方式的偽裝文件。
當不小心插入隨身碟的使用者點擊這個偽裝文件時,並不是在打開文檔,而是在執行一個蠕蟲組件。這個組件會先檢查電腦是否已被感染,如果沒有,則從遠端伺服器下載主程式。同時,它會將自己複製到其他插入的 USB 裝置中,實現自動化傳播。
利用 WScript 與 ActiveX 實現隱匿執行
在執行階段,該惡意軟體避開了傳統的安裝程式,而是利用 Windows Script Host (WScript) 和 ActiveXObject 來與作業系統互動。
對於不熟悉的工程師來說,WScript 是 Windows 內建用來執行 VBScript 或 JScript 的環境,而 ActiveX 是允許腳本直接操作系統底層功能的一種技術。透過這兩者,惡意軟體可以在不需要使用者安裝任何軟體的情況下,直接在後台執行指令。
為了躲避偵測,它還會檢查系統進程清單,如果發現使用者打開了工作管理員 (Task Manager),它會立即停止運行,試圖在管理員發現異常 CPU 或記憶體佔用前消失。
Tor 網路與 C2 伺服器的隱匿通訊
最讓安全分析人員頭痛的是其通訊機制。通常惡意軟體會連接到一個具有固定 IP 的 C2 (Command and Control) 指令控制伺服器,這讓防禦者可以透過封鎖 IP 來中斷連線。
但這次的 Clipper 採取了不同的策略:它在受感染的電腦上部署了一個可攜式的 Tor 用戶端。Tor 是一種匿名網路,能將流量經過多層中繼轉發。惡意軟體透過本地的 SOCKS5 代理將流量導向 Tor 隱藏服務 (Hidden Service),讓 C2 伺服器的真實位置完全隱藏在暗網之中。
一旦連線建立,惡意軟體會進入一個高頻率的循環:每 500 毫秒檢查一次剪貼簿。如果發現符合加密貨幣地址特徵的字串,就立即將其替換。此外,它還會定期截圖並將種子金鑰 (Seed Phrases) 或私鑰上傳到伺服器。
從偷錢工具演變成輕量化後門
這款軟體不僅僅是個偷錢的 Clipper。微軟發現,如果 C2 伺服器回傳一個名為 EVAL 的指令,該惡意軟體就能在運行時執行攻擊者提供的任意代碼。這意味著它已經從一個單純的財務盜取工具,演變成了一個功能完整的輕量化後門 (Backdoor),攻擊者可以隨時對受感染電腦進行遠端控制。
防禦建議與實務對策
面對這種不依賴靜態特徵碼、且通訊隱匿的攻擊,傳統的防毒軟體可能反應較慢。建議採取以下行為偵測與系統加固措施:
第一,監控異常的腳本執行行為。重點檢查 wscript.exe 或 cscript.exe 是否在啟動 curl、cmd.exe 或 PowerShell 等指令,這通常是腳本嘗試調用系統工具進行下載或執行代碼的徵兆。
第二,管控可移除媒體。在企業環境中,應透過群組原則 (GPO) 禁用所有可移除裝置的 AutoRun 與 AutoPlay 功能,並限制從隨身碟直接執行 LNK 快捷方式文件。
第三,限制高風險工具。除非有明確的業務需求,否則應限制一般使用者執行 wscript.exe 或 cscript.exe。
最後,對於處理敏感財務流程的設備,應特別審查與剪貼簿操作及螢幕截圖相關的異常行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。