千里奔袭只为币：ClipBanker恶意软件及其马拉松式感染链揭秘

🔍 High 其他

卡巴斯基发现一起针对加密货币用户的复杂攻击活动，攻击者通过伪造Proxifier软件官网和GitHub仓库分发恶意安装程序，采用长达10步的“无文件”感染链，最终植入ClipBanker木马窃取用户剪贴板中的加密货币地址。该攻击已导致全球超过2000名用户受害，主要分布在印度和越南。

来源：Kaspersky Securelist | 2026-04-09 | 原文链接

🔍 关键发现

• 攻击者利用搜索引擎优化（SEO）将恶意GitHub仓库置于搜索“Proxifier”结果前列，诱导用户下载木马化安装程序。
• 感染链包含10个阶段，大量使用无文件技术（如进程注入、PowerShell内存执行、注册表持久化），逃避传统检测。
• 最终载荷为C++编写的ClipBanker，不联网、无持久化，仅监控剪贴板并替换27种加密货币钱包地址。

⚔️ 攻击链分析

1. 用户搜索Proxifier，点击恶意GitHub仓库链接下载木马化安装包。 2. 运行后添加Windows Defender排除项，注入api_updater.exe设置注册表和计划任务。 3. 计划任务触发PowerShell脚本，从Pastebin和GitHub下载并执行500KB的混淆脚本。 4. 最终脚本注入shellcode到fontdrvhost.exe，加载ClipBanker木马，实时替换剪贴板中的加密地址。

🚩 失陷指标 (IOC)

• maper[.]info/2X5tF5 (IP Logger服务)
• GitHub仓库Release中的恶意可执行文件（Proxifier安装包捆绑）

🛡️ 缓解建议

• ✅ 从官方渠道（如VentoByte官网）下载Proxifier软件，避免使用搜索引擎结果中的第三方链接。
• ✅ 部署端点检测与响应（EDR）解决方案，监控进程注入、无文件执行及注册表计划任务异常创建。
• ✅ 对加密货币交易保持警惕，使用硬件钱包或双重验证，并定期检查剪贴板内容是否被篡改。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。