ClipXDaemonはX11セッションで暗号資産のクリップボードデータを横取りする新しいLinuxマルウェアファミリーで、コマンド&コントロール(C2)インフラなしで完全にオフラインで動作します。
公開されているbincrypterフレームワークで構築されたShadowHSスタイルのローダーを再利用していますが、まったく異なる自律的な金銭的ペイロードを配信します。
ShadowHSは難読化されたシェルローダーを使用して、長期の操作者によるLinuxシステムへの制御のためのインメモリハックシェルを展開し、即座な収益化ではなくステルスな侵害後の活動を重視していました。
ClipXDaemonでは、このステージング論理は純粋にデスクトップスタイルの環境における暗号資産ユーザーを標的とするX11フォーカスのクリップボードハイジャッカーの配信メカニズムとして再利用されています。
Cyble Research & Intelligence Labs(CRIL)はClipXDaemonを2026年2月初旬に最初に確認し、以前はShadowHSファイルレスLinux侵害後の活動フレームワークに関連付けられていたローダーを通じて配信されました。
ShadowHSとClipXDaemonの両方がbincrypterに依存しており、これはAES-256-CBCとgzipを組み合わせてbashラッパー内に暗号化されたペイロードを埋め込むオープンソースのシェルスクリプト暗号化ツールです。
実行時に、復号化されたドロッパーは純粋に美的目的のためにSTDOUTにメッセージを書き込み、それ自体を正当なソフトウェアとして偽装します。
ただし、CRILは共有の著作権の現在の証拠がないことに注意します。重複は攻撃者が同じ公開難読化フレームワークを独立して兵器化していることを反映しています。
ClipXDaemonマルウェア
キャンペーンは、暗号化されたシェルローダー、メモリ常駐型ドロッパー、および最終的なオンディスクELFデーモンという3段階のコンパクトなチェーンに従います。
bincrypterスタイルのラッパーはインラインの暗号化されたブロブを保存し、実行時にそれをbase64デコードし、AES-256-CBCパラメーターを導出し、gzipを介して解凍し、/proc/self/fdを通してメモリから直接復号化されたステージを実行し、フォレンジクスアーティファクトを制限します。
メモリから実行されるメモリ常駐型の中間ドロッパーは、base64エンコードされたELFバイナリを埋め込み、それを~/.local/bin/<random_name>にデコードし、実行可能なアクセス許可を設定し、バックグラウンドで起動してから、~/.profileにユーザーレベルの永続性行を追加します。
この永続性モデルはsystemdやcronを回避し、rootを必要としません。これは強化されたサーバーではなくユーザーワークステーションを対象とした動作に合致しています。
観測されたサンプルでは、高レベルのローダーロジックは安定したままですが、埋め込まれたパラメータはShadowHSマルウェアとClipXDaemonビルドで異なります。
| コンポーネント | ShadowHSローダー | ClipXDaemonローダー |
|---|---|---|
| パスワード(P) | 一意のbase64文字列 | 異なるbase64文字列 |
| ソルト(S) | 16バイト値 | 異なる16バイト値 |
| 設定ブロブ(C) | 暗号化されたbase64ペイロード | 異なる暗号化されたブロブ |
| オフセット(R) | ビルド固有の数値 | 異なる数値オフセット |
このパターンはローダーが再利用可能なステージングフレームワークとして機能し、ラッパーの動作を変更することなくビルド時にペイロードが交換されるという見方を支持しています。
X11のみのデーモンとステルス
最終的なELFは64ビットのユーザーランドバイナリで、X11ライブラリに対して動的にリンクされており、報告時点ではVirusTotalのような一般的なスキャナーでの検出がほぼゼロまたはなしです。
実行はEnvironment確認から始まります。WAYLAND_DISPLAY変数が存在する場合、マルウェアは終了します。そうでない場合は続行し、明示的にX11に制限します。X11ではグローバルなクリップボードスクレイピングが可能です。
このゲートの後、ペイロードは古典的なダブルフォーク手順を実行してデーモン化し、ターミナルから切り離され、新しいセッションを作成し、標準ファイル記述子を閉じ、ワーキングディレクトリをrootに変更してバックグラウンド活動にブレンドインします。
その後、prctl(PR_SET_NAME)とargv改ざんを使用して、良性のカーネルワーカースレッド(例えばkworkerスタイルの命名)として偽装し、psやtopを通じたカジュアルなインスペクションを回避することを目指しますが、詳細なフォレンジック分析に対抗しようとはしません。
デーモン化されてXサーバーに接続された後、ClipXDaemonはタイトなループに入り、X11 CLIPBOARD選択をおよそ200ミリ秒ごとにポーリングして、標準選択プロトコルと隠されたヘルパーウィンドウを介してUTF-8クリップボードテキストを取得します。
取得されたテキストを処理し、Bitcoin、Ethereum、Litecoin、Monero、Tron、Dogecoin、Ripple、およびTON形式を含む一般的な暗号資産ウォレットの正規表現セットに対して評価します。
一致が見つかった場合、デーモンはパッシブなモニタリングから能動的なハイジャッキングにシフトし、クリップボードの所有権を取得し、被害者の元のアドレスの代わりに攻撃者が制御するウォレットアドレスでペーストイベントに応答します。
構成ウォレット正規表現と置換アドレスは、静的な256ビットキーとカウンターを使用したChaCha20スタイル構造を使用して暗号化され、実行時にメモリで復号化され、単純な静的文字列検査を挫折させます。
観測されたサンプルはいくつかの通貨のハードコードされた置換ウォレットを示していますが、その他(いくつかの場合のTONとRippleなど)は確認された置換なしで監視されており、モジュラー構成を示唆しています。
ClipXDaemonの設計の重要な側面は、ネットワーク通信が完全に不在することです。DNSルックアップ、HTTPビーコン、および埋め込みC2ドメインやIPはすべて分析中に観測されなかった。
インプラントは完全にオフラインで動作し、暗号化された置換アドレスはハードコードされていて静的です。検出時には、クリップボードはバイナリに埋め込まれた攻撃者のウォレットアドレス(暗号化形式)で上書きされます。
収益化はエンドポイントで完全に発生し、ユーザーがハイジャックされたウォレットアドレスをペーストして取引を確認すると、伝統的なキルチェーンがローカルのクリップボード悪用ループに崩壊します。
このインフラストラクチャレスのアプローチは攻撃者の運用リスクを低減します。押収またはシンクホール可能なサーバーがなく、ネットワークベースのツールがフラグを立てるトラフィックがないため、防御者はホストベースのテレメトリ、プロセス分析、および動作検出に頼らざるを得ません。
bincrypterなどの公開ツールの再利用と組み合わせると、ClipXDaemonはX11ベースの暗号資産と開発者環境のユーザーワークフローに厳密に整列している自律的で、ステルスリーニング、かつ専門的な経済的に動機付けられたLinuxマルウェアへのより広い転換を例証しています。
侵害のインジケーター(IOC)
| インジケーター | インジケータータイプ | 説明 |
| 87ab42a2a58479cf17e5ce1b2a2e8f915d539899993848e5db679c218f0e7287 | SHA-256 | Bincrypterローダースクリプト |
| 23099eea9c4f85ff62a4f43634d431bbed0bf6b039a3f228b1c047f1c2f0cd11 | SHA-256 | ドロッパースクリプト |
| b6bb28160532400eafad532842e4ba9add6d6bbba4f7e7c85e3dbb650369eb00 | SHA-256 | ClipXDaemon ELFバイナリ |
| 0x502010513bf2d2B908A3C33DE5B65314831646e7 | Ethereum | 攻撃者ウォレットアドレス |
| 424bEKfpB6C9LkdfNmg61pMEnAitjde8YWFsCP1JXRYhfu4Tp5EdbUBjCYf9kRBYGzWoZqRYMhWfGAm1N5h6wSPg8bSrbB9 | Monero | 攻撃者ウォレットアドレス |
| bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle | Bitcoin | 攻撃者ウォレットアドレス |
| DTkSZNdtYDGndq1kRv5Z2SuTxJZ2Ddacjk | Dogecoin | 攻撃者ウォレットアドレス |
| ltc1q7d2d39ur47rz7mca4ajzam2ep74ccdwvqre6ej | Litecoin | 攻撃者ウォレットアドレス |
| TBupDdRjUscZhsDWjSvuwdevnj8eBrE1ht | Tron | 攻撃者ウォレットアドレス |
