
Microsoft-un Təhlükəsizlik Tədqiqatları Komandası yeni və təhlükəli self-propagating malware aşkar edib. “Crypto Clipper” adlanan bu worm, USB drive-lar üzərindən yayılır, istifadəçilərin clipboard məlumatlarını izləyir və kriptovalyuta wallet addresslərini oğurlayıb onları attacker-in wallet-ləri ilə əvəz edir. Bu, sadə bir clipboard oğurluşu deyil —Tor şəbəkəsi üzərindən işləyən tam funksional backdoor-dur.
Xəbər 18 İyun 2026 tarixində Ars Technica tərəfindən Microsoft-un rəsmi açıqlamasına əsasən yayımlandı. Microsoft malware-ı “Crypto Clipper” adlandırdı və onu “lightweight, script-based stealer” kimi təsvir etdi, amma onun funksional предъявləri — Tor, SOCKS5 proxy, USB yayılma və address swapping — onu adi clipboard stealer-dən xeyli daha təhlükəli edir. Bu malware-ın kəşfi, USB vasitəsilə yayılan threat-lərin hələ də aktual olduğunu və daha inkişaf etmiş anti-detection texnikaları istifadə etdiklərini göstərir.
Bu xəbər/mövzu nədir?
Crypto Clipper, Microsoft-un Thursday açıqlamasına görə, yeni kəşf edilmiş self-propagating malware-dır. Bu worm USB drive-lar vasitəsilə yayılır — yolUXmuş bir USB drive kompyuterə qoşulduqda, .lnk faylları adlanan qısa yollar vasitəsilə özünü yeni kompyuterə install edir. .lnk faylları executable kod saxlayır və istifadəçi onlara klik etdikdə恶意 kod işə düşür.
Malware işə düşdükdən sonra bir neçə şey edir. Birincisi, Clipboard-u izləyir — istifadəçi kopyaladığı hər şeyi yoxlayır. 12 və ya 24 sözlü seed phrase (kriptovalyuta wallet-lərin bərpa açarı) və ya wallet address tapırsa, dərhal 10 saniyə ərzində 5 screenshot çəkir. Sonra seed phrase və ya wallet address-i, eləcə də screenshot-ları Tor şəbəkəsi üzərindən attacker-in serverinə göndərir. Tor,anonymous routing təmin edən protokoldur — traffic birdən çox node-dan keçir və heç bir log həm göndərən, həm də qəbul edən IP-ni eyni anda tutmur.
Daha təhlükəli olan isə budur: Crypto Clipper clipboard-da tapdığı wallet address-ləri avtomatik olaraq attacker-in wallet address-ləri ilə əvəz edir. Bu o deməkdirdir ki, istifadəçi öz payment göndərmək istəyəndə, əslIndə pulu attacker-in wallet-inə göndərir. Beləliklə, istifadəçi payment-nin uğursuz olduğundan xəbərsiz olur, çünki transaction uğurla tamamlanır — sadəcə yanlış ünvana. Microsoft bu malware-ı “lightweight backdoor” adlandırır, çünki o, həm data oğurluğu, həm də remote code execution bacarıqlarına malikdir.
Niyə vacibdir?
Bu malware bir neçə səbəbdən vacibdir. Birincisi, o, USB drive vasitəsilə yayılır — bu, 20 ildən bəri azaldığı düşünülən, amma hələ də aktiv olan bir yayılma vektorudur. Bir neçə ay ərzində hər hansı bir USB drive-un bir neçə kompyuterə qoşulduğu istənilən biznes mühitində bu təhlükə ciddi yayılma potensialına malikdir. İki kompyuter arasında paylaşPhysicskan bir flash drive kifayətdir ki, hər ikisinə yoluxsun.
İkincisi, malware-ın Tor istifadə etməsi onu izləmək demək olar ki, qeyri-mümkün edir. Ənənəvi C2 (Command and Control) serverləri IP ünvanı ilə müəyyən edilir və firewall tərəfindən bloklana bilər. Lakin Crypto Clipper portable Tor client istifadə edir və traffic-i local SOCKS5 proxy-dan keçirir. Bu o deməkdir ki, security team-ləri traffic-in malicious serverə getdiyini görə bilməz, çünki hər connection random Tor node-ları vasitəsilə baş verir.
Üçüncüsü, clipboard əvəzetmə taktiki (address swapping) xüsusilə hiyləgərdiır. Kriptovalyuta transferlərində address-lər uzun və oxunaqsız olduğundan, istifadəçilər adətən address-i kopyalayıb yapışdırırlar. Malware clipboard-da address-i avtomatik əvəz edir və istifadəçi fərqinə varmadan pulu attacker-ə göndərir. Kripto transferləri geriqaytarıla bilməz — blockchain transaction-ları dəyişdirilə bilməz. Bu o deməkdirdir ki, pulun bir dəfə getdiyi yerə qayıtmaz. Və seed phrase oğurluğu daha da betərdir — attacker bütün wallet-ə tam nəzarət əldə edir.
BITEP/auditoriya üçün nə deməkdir?
BITEP auditoriyası əsasən hosting və VPS xidmətləri ilə maraqlanan IT mütəxəssisləri və biznes sahibləridir. Bu malware onlar üçün iki cəhətdən təhlükəlidir. Birincisi, server administratorları və developer-lər tez-tez USB drive-lardan istifadə edirlər — config faylları, installasiya paketləri, backup-lar və digər məlumatlar üçün. Bir yoluxmuş USB drive, data center-in və ya VPS administrator kompyuterinin yoluxmasına səbəb ola bilər.
İkincisi, kriptovalyuta ilə işləyən bizneslər — məsələn, crypto payment qəbul edən e-ticarət saytları və ya crypto exchange operasiyaları — clipboard əvəzetmə hücumlarına xüsusilə həssasdırlar. Administrator bir wallet-dən digərinə transfer edərkən, clipboard-dakı address avtomatik əvəz olunarsa, minlərlə və ya million dollar itirilə bilər. Bu, hər hansı bir kripto ilə işləyən biznes üçün real riskdir.
Üçüncüsü, VPS və server mühitində clipboard oğurluğu birbaşa təsir etməsə də, USB drive vasitəsilə yayılma qabiliyyəti office mühitində ciddi təhlükə yaradır. Administrator öz laptop-undan server-ə SSH vasitəsilə qoşulduqda, əgər laptop-da Crypto Clipper varsa, SSH key-ləri və ya server credential-ləri clipboard-dan oğurlana bilər.
Praktik təsiri nədir?
Praktik təsiri real və ölçülə biləndir. 2025-ci ildə Microsoft-un məlumatına görə, oxşar clipboard-stealing malware-lər millionlarca dollar kriptovalyuta oğurlayıb. Crypto Clipper xüsusilə təhlükəlidir, çünki o, yalnız address oğurlamır, həm də address-i əvəz edir, bu da istifadəçilərin transaction-ın uğurlu olduğunu düşünməsinə səbəb olur. Bir neçə həftə ərzində istifadəçi onlarca transaction edə bilər və heç birindən şübhələnməyə bilər.
Real dünya ssenarisində, təsiri belə olur: Bir kompyuzer mühitində bir yoluxmuş USB drive, bir həftə ərzində 10-15 kompyuterə yayıla bilər. Hər kompyuterdə bir neçə istifadəçi kripto wallet address-ləri ilə işləyirsə, attacker qısa müddətdə onlarca wallet-ə access əldə edə bilər. Seed phrase oğurluğu isə bir wallet-də olan bütün fondların itirilməsinə səbəb olur — və bunu geri qaytarmaq mümkün deyil.
Bundan əlavə, SOCKS5 proxy + Tor kombinasiyası malware-ın müəyyən edilməsini çətinləşdirir. Ənənəvi antivirus sistemləri C2 server IP-lərinə baxaraq malware-ı tapır, amma Tor olduqda bu metod işləmir. Bu, security team-lərinin behavioral analysis və endpoint detection sistemlərini tətbiq etməsini tələb edir.
Real dünya ssenarisində bu malware-ın təsiri geniş vektorla yayılma potensialına malikdir. Məsələn, bir office mühitində bir yoluxmuş USB drive bir neçə kompyuterə qoşula bilər — hər birində .lnk faylı özünü install edir. Hər yoluxmuş kompyuter, öz növbəsində, başqa USB drive-ları da yoluxdurur. Bu, bir neçə həftə ərzində bir neçə on kompyuterə yayılma ssenariyi realdır. Bir yoluxmuş USB drive bir attachment vasitəsilə də gələ bilər — məsələn, bir işçi öz flash drive-nu conference-dakı poçt kompyuterlərindən birinə qoşubsa, bu da yoluxucu olar. Bu yeganə yoluxmuş drive, bir ew müddət sonra şirkətin bütün şəbəkəsinə sızmış ola bilər, və bu, USB-lərin tez-tez nəzərə alınmayan bir threat vector olduğu faktını bir daha təsdiq edir.
Diqqət edilməli məqamlar
Birincisi, USB drive-lardan ehtiyatlı istifadə edin. Production server-lərində və ya admin kompyuterlərində bilinməyən USB drive-ları qoşmayın. Siyasi qayda olaraq, USB drive-lar yalnız trusted mənbələrdən qəbul edilməli və istifadədən əvvəl antivirus tərəfindən skan edilməlidir.
İkincisi, kripto wallet address-lərini yapışdırdıqdan sonra həmişə son bir neçə simvolu yoxlayın. Address-i yapışdırdıqdan dərhal sonra, son 4-6 simvolu manual olaraq götürün və əsl wallet address ilə müqayisə edin. Əgər uyğun gəlmirsə, clipboard-da malware ola bilər.
Üçüncüsü, seed phrase-ləri heç vaxt clipboard-a kopyalamayın. Seed phrase-lər yalnız offline yazılmalı və ya hardware wallet-da saxlanmalıdır. Əgər seed phrase-i rəqəmsal formatda saxlamaq lazımdırsa, şifrlənmiş offline faylda və ya password manager-da (clipboard monitoring-dən qorunan) saxlayın.
Dördüncüsü, firewall-da SOCKS5 proxy traffic-ini izləyin. Crypto Clipper local SOCKS5 proxy istifadə edir — bu traffic-i network səviyyəsində aşkar etmək mümkündür. Əgər kompyuterinizdə Tor traffic-i görmürsünüzsə və SOCKS5 proxy activity varsa, bu, malware-ın işlədiyinə işarə ola bilər.
Beşincisi, endpoint protection solutions (EDR) istifadə edin. Ənənəvi antivirus signature-based detection ilə işləyir və yeni malware-ları tutmaqda zəifdir. EDR sistemləri isə behavioral analysis edir — clipboard monitoring, SOCKS5 proxy yaradılması və USB-dən .lnk fayl yazılması kimi davranışları aşkarlaya bilər.
Nəticə
Crypto Clipper, lightweight amma yüksək təsirli malware-ın nümunəsidir. O, sadə bir clipboard oğurluşu deyil — Tor şəbəkəsi, SOCKS5 proxy, USB yayılma və address swapping kombinasiyası ilə tam funksional bir backdoor-dur. Microsoft-un aşkarlaması bu malware-ın artıq real dünyada yayıldığını göstərir. BITEP auditoriyası üçün bu, USB drive təhlükəsizliyi, clipboard monitoring qorunması və kripto wallet təhlükəsizliyi kimi mövzuların aktual olduğunu bir daha təsdiqləyir. Server və VPS administratorları endpoint protection, behavioral detection və USB siyasətlərini ciddi qəbul etməlidirlər. Kriptovalyuta ilə işləyən hər kəs isə seed phrase-ləri exposure-dən qorumalı və wallet address-lərini clipboard vasitəsilə göndərməkdən çəkinməlidir.
Gələcəkdə bu tip malware-lar daha da incələşə və geniş yayıla bilər. Microsoft-un researcher-ləri qeyd edir ki, “lightweight, script-based stealers”-in böyük təsir verə bilməsi yeni bir malware trendinə işarə edir. Security community üçün bu, kibermüharibənin yalnız böyük malware-lara deyil, həm də az çəkiyə malik script-lərin böyük zərər verə biləcəyi formalaşdığını göstərir. Hər IT mütəxəssisi, EDR (Endpoint Detection and Response) sistemlərinin behavior-based analizlərinə üstünlük verməli, USB drive-lar üçün qrup siyasəti (Group Policy) tətbiq etməli, və clipboard-dakı sensitive məlumatları monitorinq altında saxlamaq üçün DLP (Data Loss Prevention) həlləri nəzərdən keçirməlidir. Təhlükəsizlik bir mərhələlik yox, davamlı bir prosesdir və Crypto Clipper kimi yeni threat-lərə adaptasiya olmaq üçün daimi vigilance tələb edir.