Ένα νέο κακόβουλο λογισμικό Linux που ανακαλύφθηκε με το όνομα ClipXDaemon έχει εμφανιστεί ως άμεση οικονομική απειλή για τους χρήστες κρυπτονομισμάτων σε περιβάλλοντα επιτραπέζιων υπολογιστών που βασίζονται σε X11.
Σε αντίθεση με το συμβατικό κακόβουλο λογισμικό που εξαρτάται από διακομιστές εντολών και ελέγχου (C2) για οδηγίες, το ClipXDaemon λειτουργεί εξ ολοκλήρου από μόνο του — παρακολουθώντας αθόρυβα το πρόχειρο κάθε 200 χιλιοστά του δευτερολέπτου και αντικαθιστώντας νόμιμες διευθύνσεις πορτοφολιού με ελεγχόμενες από εισβολείς.
Μόλις αναπτυχθεί, εκτελείται εξ ολοκλήρου στον υπολογιστή του θύματος χωρίς beacons δικτύου, απομακρυσμένες εντολές και καμία εξωτερική υποδομή οποιουδήποτε είδους που απαιτείται.
Το κακόβουλο λογισμικό εμφανίστηκε στις αρχές Φεβρουαρίου 2026 μέσω μιας δομής φόρτωσης που είχε προηγουμένως συνδεθεί με το ShadowHS, μια απειλή Linux που τεκμηριώθηκε τον Ιανουάριο του 2026 και ανέπτυξε εργαλεία μετά την εκμετάλλευση σε περιβάλλοντα διακομιστή.
Και οι δύο καμπάνιες μοιράζονται ένα περιτύλιγμα σταδιοποίησης που έχει δημιουργηθεί με bincrypter, ένα δημόσια διαθέσιμο πλαίσιο κρυπτογράφησης σεναρίου κελύφους ανοιχτού κώδικα, αλλά τα ωφέλιμα φορτία τους είναι λειτουργικά πολύ διαφορετικά.
Το ShadowHS στόχευε διακομιστές, ενώ το ClipXDaemon κυνηγά τους χρήστες επιτραπέζιου υπολογιστή Linux που αντιγράφουν και επικολλούν διευθύνσεις πορτοφολιών κρυπτονομισμάτων κατά τη διάρκεια καθημερινών συναλλαγών.
Η κοινή χρήση του ίδιου εργαλείου συσκότισης αντανακλά μια αυξανόμενη τάση των εισβολέων να επαναχρησιμοποιούν βοηθητικά προγράμματα ανοιχτού κώδικα για να μειώσουν το κόστος ανάπτυξης και να περιπλέξουν την απόδοση, αντί για οποιαδήποτε κοινή συγγραφή.
Οι αναλυτές της Cyble εντόπισαν το κακόβουλο λογισμικό και το ονόμασε ClipXDaemon, σημειώνοντας ότι στοχεύει οκτώ μορφές κρυπτονομισμάτων — Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple και TON.
Τα μοτίβα regex του πορτοφολιού και οι διευθύνσεις αντικατάστασης κρυπτογραφούνται μέσα στο δυαδικό αρχείο χρησιμοποιώντας κρυπτογράφηση ροής ChaCha20, προστατεύοντάς τα από στατική ανάλυση.
Τα ενεργά πορτοφόλια αντικατάστασης επιβεβαιώθηκαν για έξι περιουσιακά στοιχεία κατά τη διάρκεια της δυναμικής ανάλυσης, ενώ τα TON και Ripple εμφανίστηκαν μόνο υπό παρακολούθηση, χωρίς να παρατηρήθηκαν διευθύνσεις αντικατάστασης. Κατά τη στιγμή της ανάλυσης, το ωφέλιμο φορτίο ELF πέρασε εντελώς απαρατήρητο στο VirusTotal.
.webp.jpeg)
Αυτό που διακρίνει περισσότερο το ClipXDaemon είναι η παντελής απουσία οποιασδήποτε δραστηριότητας δικτύου.
Το δυαδικό δεν φέρει ενσωματωμένες διευθύνσεις IP ή τομείς και δεν εκκινεί ποτέ ερωτήματα DNS, συνδέσεις HTTP ή επικοινωνία υποδοχής, καθιστώντας τις παραδοσιακές άμυνες που βασίζονται σε δίκτυο εντελώς αναποτελεσματικές.
Δεν υπάρχουν διακομιστές για κατάσχεση, κίνηση για ανάλυση και υποδομή για διάλυση.
Η δημιουργία εσόδων πραγματοποιείται σε μια συγκεκριμένη στιγμή: όταν ένα θύμα επικολλά μια αντιγραμμένη διεύθυνση πορτοφολιού, το κακόβουλο λογισμικό την ανταλλάσσει σιωπηλά με μια διεύθυνση που ελέγχεται από τον εισβολέα προτού επιβεβαιωθεί η συναλλαγή — μια αντικατάσταση που οι περισσότεροι χρήστες δεν αντιλαμβάνονται μέχρι να εξαντληθούν τα χρήματά τους.
Μια αλυσίδα μόλυνσης τριών σταδίων σχεδιασμένη να κρύβεται
Το ClipXDaemon φτάνει μέσω μιας αλυσίδας μόλυνσης τριών σταδίων που έχει κατασκευαστεί για να αφήνει ελάχιστα ίχνη.
Η διαδικασία ξεκινά με έναν κρυπτογραφημένο φορτωτή που δημιουργείται από bincrypter, ο οποίος αποθηκεύει ένα κωδικοποιημένο ωφέλιμο φορτίο, το αποκωδικοποιεί και το αποκρυπτογραφεί χρησιμοποιώντας το AES-256-CBC.
.webp.jpeg)
Επιπλέον, το αποσυμπιέζει μέσω gzip και εκτελεί το ενδιάμεσο σταγονόμετρο απευθείας μέσω ενός /proc/self/fd περιγραφέας αρχείου — ποτέ δεν γράφετε το αποκρυπτογραφημένο στάδιο σε δίσκο.
.webp.jpeg)
Το σταγονόμετρο αποκωδικοποιεί ένα ενσωματωμένο δυαδικό αρχείο ELF 64-bit και το γράφει σε ένα τυχαιοποιημένο όνομα αρχείου κάτω από ~/.local/bin/.
.webp.jpeg)
Στη συνέχεια, προσαρτά την εκτέλεση του ωφέλιμου φορτίου στο ~/.profileδημιουργώντας επιμονή που ενεργοποιείται από τη σύνδεση χωρίς να απαιτείται πρόσβαση root, εργασίες cron ή υπηρεσίες συστήματος.
Μόλις ενεργοποιηθεί, το ωφέλιμο φορτίο ελέγχει εάν υπάρχει ο διακομιστής οθόνης Wayland και εξέρχεται αμέσως εάν εντοπιστεί, καθώς η Wayland περιορίζει την καθολική πρόσβαση στο πρόχειρο που επιτρέπει το X11.
Με το X11 επιβεβαιωμένο, εκτελεί μια ακολουθία δαιμονοποίησης διπλού πιρουνιού και μετονομάζει τη διαδικασία σε kworker/0:2-events χρησιμοποιώντας prctl(PR_SET_NAME)μιμούμενος ένα νήμα εργάτη πυρήνα για να αποφευχθεί η υποψία σε καταχωρίσεις διαδικασιών ρουτίνας.
Στη συνέχεια, μετράει το πρόχειρο κάθε 200 χιλιοστά του δευτερολέπτου και όταν μια αντιγραμμένη συμβολοσειρά ταιριάζει με ένα από τα οκτώ κρυπτογραφημένα μοτίβα πορτοφολιού κρυπτονομισμάτων, το εμφύτευμα αντικαθιστά σιωπηλά το περιεχόμενο του προχείρου με μια κωδικοποιημένη διεύθυνση πορτοφολιού εισβολέα πριν ολοκληρωθεί η λειτουργία επικόλλησης.
Οι χρήστες Linux και κρυπτονομισμάτων θα πρέπει να δώσουν προτεραιότητα στη μετεγκατάσταση από το X11 στο Wayland όπου αυτό είναι εφικτό, καθώς η Wayland αποκλείει την παγκόσμια απόξεση του προχείρου στην οποία βασίζεται το ClipXDaemon.
Οι διαχειριστές συστήματος θα πρέπει να ελέγχουν τις αλλαγές σε ~/.profile και ~/.bashrcεπισημάνετε νέα εκτελέσιμα μέσα ~/.local/bin/και διερευνήστε οποιαδήποτε διεργασία παρασκηνίου με όνομα νήματος πυρήνα που εκτελείται σε λογαριασμό χρήστη που δεν είναι root.
Τα χειριστήρια EDR συμπεριφοράς θα πρέπει να ειδοποιούν για δυαδικά αρχεία ELF που εκτελούνται μέσω /proc/self/fdδαιμονοποίηση διπλού πιρουνιού από κελύφη χρηστών και ψηφοφορία στο πρόχειρο υψηλής συχνότητας από δαίμονες φόντου.
Οι χρήστες θα πρέπει να επαληθεύουν με μη αυτόματο τρόπο κάθε διεύθυνση πορτοφολιού προτού επιβεβαιώσουν μια μεταφορά κρυπτονομισμάτων και να εξετάζουν έντονα τα πορτοφόλια υλικού που εμφανίζουν διευθύνσεις παραληπτών ανεξάρτητα από το κεντρικό σύστημα.
