Microsoft paljasti Windows Clipper -haittaohjelmakampanjan, joka käyttää USB LNK -matomallia ja Tor-based C2:ta. Uhrit ovat altistuneet helmikuusta 2026 alkaen. Kampanja hyödyntää WSH:ta ja ActiveX:iä.
Microsoft Defender Security Research Team on paljastanut yksityiskohtia Windows-ympäristöissä toimivasta kryptovaluuttoja varastavasta haittaohjelmakampanjasta, joka on ollut käynnissä helmikuusta 2026 lähtien. Haittaohjelma hyödyntää Windows Script Hostia ja ActiveX-teknologiaa käynnistääkseen mukanaan tulevan Tor-välityspalvelimen. Tämä mahdollistaa yhteydenpidon piilotetussa palvelussa toimivaan komento- ja valvontapalvelimeen (C2). Kampanjan tavoitteena on varastaa käyttäjien kopioimia kryptovaluuttaosoitteita ja korvata ne hyökkääjän osoitteilla. Hyökkääjät pyrkivät aktiivisesti peittämään jälkensä käyttämällä anonyymejä Tor-verkkoja C2-kommunikaatiossa, mikä vaikeuttaa uhrien jäljittämistä ja haittaohjelman torjuntaa. Haavoittuvuudet hyödynnetään usein USB-tallennusvälineiden kautta levitettävän LNK-tiedoston avulla, joka käynnistää haittaohjelman automaattisesti uhrijärjestelmässä.
Tärkeimmät pointit
- Kampanja on aktiivinen helmikuusta 2026 lähtien.
- Haittaohjelma käyttää Windows Script Hostia ja ActiveX:ää.
- Tor-välityspalvelin piilotetussa palvelussa (hidden service) toimivalla C2-palvelimella.
- Tavoitteena kopioitavien kryptovaluuttaosoitteiden korvaaminen ja varastaminen.
- Hyödyntää USB LNK -matomallia leviämiseen.
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 18.6.2026
