2026 metų pradžioje kibernetinio saugumo ekspertai atkreipė dėmesį į neįprastą grėsmę – Trojos arklį, pasižymintį itin ilga ir sudėtinga infekcijos grandine. Ši kenkėjiška kampanija susijusi su pavojingu kriptovaliutų virusu, žinomu kaip ClipBanker.

Dažniausiai viskas prasideda nuo paprasto veiksmo – programinės įrangos paieškos internete, pavyzdžiui, „Proxifier“.

Kaip išnaudojamas „Proxifier“?

Proxifier tipo programos leidžia nukreipti tinklo srautą per proxy serverius ir yra plačiai naudojamos saugiose IT aplinkose. Tačiau būtent šio populiarumo ir ieško kibernetiniai nusikaltėliai.

Paieškos rezultatuose vartotojai gali rasti nuorodas į GitHub projektus, kurie atrodo patikimi. Tačiau iš tikrųjų jie slepia kenkėjišką programinę įrangą.

Tokiuose archyvuose dažniausiai yra:

  • vykdomasis failas;
  • tekstinis dokumentas su „aktyvavimo raktais“.

Tai sukuria iliuziją, kad vartotojas atsisiunčia nemokamą programos versiją, nors iš tikrųjų pradeda infekciją.

Kaip vyksta infekcija?

Paleidus užkrėstą failą, sistema iš karto tampa pažeidžiama. Kenkėjiška programa:

  • prideda išimtis „Microsoft Defender“ apsaugai;
  • naudoja laikinuosius procesus kodo vykdymui;
  • paleidžia PowerShell scenarijus be vartotojo žinios.

Svarbiausia tai, kad ši ataka naudoja vadinamąsias fileless technologijas – didžioji dalis kodo veikia atmintyje ir nepalieka aiškių pėdsakų diske.

Daugiapakopė kenkėjiškos programos grandinė

Ši kibernetinė ataka išsiskiria savo sudėtingumu. Ji vyksta keliais etapais:

Pirmiausia sukuriamas registro raktas su užkoduotu scenarijumi ir suplanuojama užduotis, kuri jį vykdo. Vėliau sistema atsisiunčia papildomus komponentus iš Pastebin tipo svetainių.

Galiausiai galutinis kenkėjiškas kodas atsisiunčiamas iš GitHub ir įterpiamas į sisteminius procesus.

Šis procesas vyksta tyliai, todėl vartotojas dažniausiai nieko nepastebi.

ClipBanker: kaip vagiamas kriptovaliutas?

Paskutiniame etape aktyvuojamas ClipBanker – specializuota kenkėjiška programa, skirta kriptovaliutų vagystei.

Ji:

  • stebi iškarpinę (clipboard);
  • atpažįsta kriptovaliutų piniginių adresus;
  • automatiškai juos pakeičia į užpuolikų adresus.

Tai reiškia, kad kopijuodami Bitcoin, Ethereum ar kitų kriptovaliutų adresą galite net nepastebėti, kaip jis pakeičiamas.

Kas tapo aukomis?

Nuo 2025 metų pradžios:

  • daugiau nei 2000 vartotojų susidūrė su šia grėsme;
  • dauguma jų – Indijoje ir Vietname;
  • apie 70 % atvejų aptikta jau po infekcijos.

Tai rodo, kad tokio tipo kenkėjiškos programos dažnai lieka nepastebėtos iki tol, kol padaroma reali žala.

Kaip apsisaugoti nuo kriptovaliutų virusų?

Norint apsisaugoti nuo ClipBanker ir panašių grėsmių, svarbu laikytis kelių pagrindinių taisyklių:

  • atsisiųsti programinę įrangą tik iš oficialių šaltinių;
  • vengti „nemokamų“ licencijų ir nepatikimų GitHub projektų;
  • naudoti patikimą antivirusinę apsaugą;
  • prieš atliekant pervedimus visada patikrinti kriptovaliutų adresus.

Išvada

Ši kenkėjiška kampanija dar kartą patvirtina gerai žinomą taisyklę – bandymas sutaupyti gali kainuoti daug daugiau. Neatsargus programinės įrangos atsisiuntimas gali lemti ne tik sistemos užkrėtimą, bet ir tiesioginius finansinius nuostolius.

Šiandien, kai kriptovaliutos tampa vis populiaresnės, kibernetinis saugumas yra būtinas kiekvienam vartotojui.