Bei Clipper-Malware handelt es sich um Schadsoftware, die unbemerkt die Zwischenablage eines Nutzers überwacht und dort eingefügte sensible Daten abfängt. Laut Microsoft zielt sie vor allem auf Kryptowährungstransaktionen, indem sie Wallet-Adressen, die bekannten Blockchain-Mustern entsprechen, durch vom Angreifer kontrollierte Adressen ersetzt.

In der von Microsoft beschriebenen Kampagne beginnt der Angriff mit einer schädlichen LNK-Datei auf einem USB-Laufwerk. Diese Nutzlast durchsucht den Datenträger nach gängigen Dokumentformaten wie DOC, XLSX und PDF. Werden solche Dateien gefunden, blendet die Malware sie aus und legt stattdessen neue LNK-Dateien mit denselben Dateinamen an, deren Argumente auf die Wurm-Komponente verweisen. Öffnet ein Nutzer die Verknüpfung in der Annahme, ein harmloses Dokument zu starten, wird die Malware ausgeführt.

Die Wurm-Komponente sorgt nicht nur für die Weiterverbreitung auf andere noch nicht kompromittierte USB-Laufwerke. Sie richtet auch geplante Aufgaben ein, um sowohl den Wurm als auch die Stealer-Komponente dauerhaft auf dem System zu verankern. Der Clipper selbst nutzt WScript und ActiveXObject zur Interaktion mit dem Betriebssystem. Um einer Entdeckung zu entgehen, beendet er sich, wenn der Task-Manager unter den aktiven Prozessen auftaucht.

In der letzten Phase startet die Malware laut Microsoft eine umbenannte Tor-Binärdatei in einem verborgenen Fenster, erzeugt eine eindeutige Opferkennung und registriert diese beim externen Server. Anschließend geht sie in eine Endlosschleife über: Sie fragt den C2-Server regelmäßig nach Anweisungen ab und überwacht gleichzeitig etwa alle 500 Millisekunden die Zwischenablage, um Seed-Phrasen und private Schlüssel auszulesen.

Microsoft zufolge kapert die Schadsoftware außerdem Kryptowährungsadressen, indem sie kopierte Wallet-Werte durch vom Angreifer kontrollierte Alternativen ersetzt, und lädt Bildschirmaufnahmen über Tor hoch. Wenn der C2-Server eine EVAL-Antwort zurückliefert, führt die Malware zur Laufzeit vom Angreifer bereitgestellten Code aus. Nach Einschätzung des Unternehmens wird damit ein finanziell motivierter Stealer um Funktionen ergänzt, die ihn zu einer leichtgewichtigen Hintertür machen.

Als Gegenmaßnahmen empfiehlt Microsoft, verhaltensbasierte Erkennung gegenüber statischen Signaturen zu priorisieren. Konkret sollten Verteidiger laut Analyse auf PowerShell-basierte Bildschirmaufnahmen sowie auf den Einsatz von WScript, CScript oder verwandten Skript-Engines achten, wenn diese curl, cmd.exe, PowerShell oder unerwartete ausführbare Dateien starten.

Weitere von Microsoft genannte Schutzmaßnahmen sind das Deaktivieren von AutoRun und AutoPlay für alle Wechselmedien, das Blockieren der LNK-Ausführung von entfernbaren Laufwerken per Gruppenrichtlinienobjekten sowie das Einschränken unnötiger Nutzung von wscript.exe und cscript.exe. Zusätzlich rät das Unternehmen dazu, Zwischenablagen-bezogene und Screen-Capture-Aktivitäten auf Geräten mit sensiblen finanziellen Arbeitsabläufen zu überprüfen.