TokyoBlackHatNews

meterpreter.org 4分で読了

見えないスイッチ:「ClipXDaemon」がLinuxクリップボードをハイジャックして暗号資産を盗む方法

サイバーセキュリティ研究者は、ClipXDaemonと名付けられた新興のLinuxマルウェア株を発見しました。この不正なプログラムは、クリップボードの内容を秘密裏に傍受し、取引操作中に暗号資産ウォレットアドレスを密かに置き換えます。この攻撃は、X11グラフィカルサブシステムによって管理されるアーキテクチャ内で動作する暗号資産顧客を特に標的としています。

この悪質なエンティティは、2026年2月に最初に記録されました。ClipXDaemonは、シェルスクリプトを保護するために設計されたオープンソースユーティリティであるbincrypterに基づいた暗号化ローダーを通じて増殖します。このローダー内には、暗号化されたペイロードが隠されています。実行時、システムはペイロードをBase64の制約から復号化し、AES-256-CBCアルゴリズムを利用して復号化し、gzip経由で解凍し、その後、揮発性メモリ内で直接実行します。このような洗練されたファイルレスパラダイムは、法医学的分析を大きく難読化し、従来のアンチウイルスセンチネルを混乱させます。復号化されたアーティファクトは物理ディスクに記録されることはないからです。

ローダーの実行後、補助的なドロッパーモジュールがシステム内に現れます。このドロッパーは、疑いを逸らすために無害なメッセージを注意深く投影し、その後、埋め込まれたELF実行ファイルを抽出し、ClipXDaemonアーキテクチャを~/.local/bin/などのユーザー固有のディレクトリ内に隔離します。ファイルの命名法は完全にランダムに作成されます。このインストール戦略は、昇格された管理者権限の必要性を回避し、マルウェアが普通のユーザーアプリケーションの中に偽装するのを大いに支援します。

ドロッパーはファイルに実行権限を与え、プログラムをバックグラウンドで秘密裏に動作させ、~/.profile設定ファイル内に起動ディレクティブをシームレスに記述します。この不正な修正のため、ClipXDaemonはユーザーログインのたびに自律的に復活し、リブートを容易に乗り越える永続的なシステムプレゼンスを強化します。

基本モジュールは64ビットLinuxアプリケーションとして現れ、X11ライブラリに密接に結びついています。起動時、プログラムは現在のグラフィカルサーバーの厳密な監査を実施します。ホストアーキテクチャがWaylandに依存する場合、悪質なソフトウェアは自律的に終了します。Waylandの固有のアーキテクチャ制約は、クリップボードバッファの全体的な監視を明示的に禁止しています。逆に、X11によって管理されるシステムでは、プログラムはターミナルへの関係を無慈悲に断ち、プロセス命名法を変更し、カーネルスレッド(kworkerに似た)を巧妙に模倣して、プロセス台帳内で無実のシステムタスクになりすまします。

秘密裏の起動後、ClipXDaemonはクリップボードの内容を容赦なく調査します。おおよそ200ミリ秒ごとの頻度で、X11アプリケーションプログラミングインターフェースを活用します。ソフトウェアはテキストを細心に解析し、暗号資産ウォレットアドレスを示す構文パターンを積極的に探します。サポートされているマトリックスには、Bitcoin、Ethereum、Litecoin、Monero、Tron、Dogecoin、Ripple、TONが含まれています。

ウォレットアドレスがバッファ内に現れた場合、ClipXDaemonは瞬時に正当な文字列を削除し、その同一の暗号資産タイプに対する犯人の独自の座標で置き換えます。知らないユーザーは本物のアドレスをコピーし、不正な代替品を貼り付け、意図せずに自分の財務移動を敵対的な領域に送信し、このマキャベリアン的な手品に完全に気づかないままです。

ClipXDaemonの根本的に特徴的な特性は、コマンドアンドコントロール(C2)インフラストラクチャの絶対的な欠如にあります。プログラムは敵対的なサーバーとのコミュニケーションはゼロで、ネットワークの問い合わせを送信せず、埋め込まれたC2座標を含みません。攻撃者の収益ストリームは、暗号資産取引中のアドレスの置換の成功に完全に依存しています。このような主権的で自律的な運用パラダイムは、ネットワークテレメトリーを通じてマルウェアの検出を指数関数的に複雑にし、法医学的アナリストがホストハードウェア上の粒度の高い行動監視にのみ依存することを強制します。

サイバーセキュリティの専門家は、~/.local/bin/などのユーザー中心のディレクトリから発信されるバイナリの実行を制限することを激しく促します。さらに、~/.profileおよび~/.bashrcの自動スタート構成への変更の厳格な監視を提唱し、Linuxドメインに適合した行動分析で強化されたロバストなエンドポイント検出および対応(EDR)アーキテクチャの展開を支持しています。感染の補助的な特性は、カーネルスレッドの命名法を持つプロセスとして表示される可能性があり、異常に普通のユーザーアカウントの支援下で動作しています。

ClipXDaemonは、サイバー犯罪シンジケートがLinuxアーキテクチャに抱く膨大な関心を明確に強調しています。暗号通貨の絶え間ない増殖と、開発者エンクレーブ内でのLinuxのユビキタスな導入により、そのような動的な攻撃はますます有利になっています。

翻訳元: https://meterpreter.org/the-invisible-switch-how-clipxdaemon-hijacks-linux-clipboards-to-steal-crypto/

ソース: meterpreter.org
#ClipXDaemon #Linuxマルウェア #Linux脅威 #X11セキュリティ #ウォレットアドレス置換 #クリップボード攻撃 #ファイルレス攻撃 #暗号資産盗難 #暗号通貨セキュリティ #永続化機構

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす