ClipXDaemonという新たに特定されたLinuxマルウェアは、X11セッション内でコピーされたウォレットアドレスをハイジャックして、暗号資産ユーザーを狙っています。
Cybleリサーチおよびインテリジェンスラボによると、このマルウェアは2026年2月初旬に発見され、2026年3月5日に詳細が報告されました。
その目的はシンプルです。被害者が暗号資産ウォレットアドレスをコピーすると、トランザクションが完了する前に、マルウェアは静かにそれを攻撃者が管理するアドレスに置き換えます。
ClipXDaemonが危険な理由は、多くの暗号資産ユーザーが転送中にコピー・ペーストに依存しているためです。ウォレット文字列の小さな変更は注意されないと、資金が脅威アクターに直接送信される可能性があります。
他の多くのLinuxマルウェアファミリーとは異なり、ClipXDaemonは従来のコマンドアンドコントロール(C2)サーバーに依存していません。命令を得るために外部システムと通信する必要がありません。代わりに、感染後は独立して動作し、より静かで検出が難しくなっています。
研究者によると、このマルウェアはGitHubで入手可能なオープンソースシェルスクリプト暗号化フレームワークであるBincrypterを使用するローダー構造を通じて配信されます。同じローダー構造は、ShadowHSに関連するアクティビティで以前現れています。
しかし、Cybleは両方の脅威が同じ作者またはキャンペーンから来たという確認された証拠がないことを指摘しました。重複は直接的な運用上のリンクではなく、公開ツールの共有使用から生じています。
ClipXDaemonが目立つのは、ローカル実行と直接的な金銭化のために構築されているためです。広くデータを盗んだり、リモートシェルを開くことはありません。
代わりに、広く使用されているウィンドウシステムであるX11を実行しているLinuxシステム内のクリップボードアクティビティを監視します。
コピーされた暗号資産ウォレットアドレスを検出すると、元の値をリアルタイムで置き換えます。ユーザーが注意深くチェックしないでアドレスを貼り付けた場合、支払いは攻撃者に送信されます。
これは防御者に課題を生じさせます。従来の検出は疑わしいアウトバウンドトラフィックまたはC2アクティビティに焦点を当てることが多いためです。
Linuxと暗号資産ユーザーにとって、主な教訓は明確です。資金を送信する前に常にウォレットアドレスを確認してください。
ターゲットにされることが少ないと考えられるシステム上でも、攻撃者はお金を盗むための単純で効果的な方法を見つけています。ClipXDaemonは、クリップボードハイジャックが暗号資産運用における深刻な脅威であることを思い出させるものです。
翻訳元: https://cyberpress.org/clipxdaemon-steals-crypto-transfers/