Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware per Linux chiamato ClipXDaemon. Il programma intercetta silenziosamente il contenuto degli appunti e falsifica gli indirizzi dei wallet di criptovalute durante le transazioni. L’attacco prende di mira gli utenti di criptovalute e opera sul sottosistema grafico X11.
Il malware è stato rilevato per la prima volta nel febbraio 2026. ClipXDaemon si diffonde tramite un downloader crittografato basato su bincrypter, uno strumento open source per la protezione degli script shell.
Il downloader contiene codice payload crittografato. All’avvio, il sistema decodifica il payload base64, lo decrittografa utilizzando l’algoritmo AES-256-CBC, lo decomprime tramite gzip e lo esegue direttamente in memoria. Questo approccio complica l’analisi e rende difficile il rilevamento da parte dei software antivirus tradizionali, poiché i componenti decrittografati non vengono salvati su disco.
Dopo l’esecuzione del downloader, sul sistema viene visualizzato un modulo dropper aggiuntivo. Il dropper visualizza un messaggio innocuo per evitare sospetti, quindi estrae il file ELF incorporato e salva il programma ClipXDaemon nella directory dell’utente, ad esempio ~/.local/bin/. Il nome del file viene generato casualmente. Questo metodo di installazione non richiede privilegi di amministratore e aiuta il malware a mimetizzarsi tra i normali programmi utente.
Il dropper rende il file eseguibile, esegue il programma in background e aggiunge una riga di avvio a ~/.profile. Questa voce assicura che ClipXDaemon si avvii automaticamente ogni volta che l’utente effettua l’accesso e persista dopo i riavvii.
Il modulo principale è un’applicazione Linux a 64 bit collegata alle librerie X11. All’avvio, il programma controlla il server grafico utilizzato. Se il sistema esegue Wayland, il malware termina, poiché l’architettura Wayland non consente il monitoraggio globale degli appunti. Sui sistemi X11, il programma si dirama dal terminale e modifica il nome del processo, imitando un thread del kernel come kworker, in modo da apparire come un’attività di sistema nell’elenco dei processi.
Una volta avviato, ClipXDaemon controlla il contenuto degli appunti circa ogni 200 millisecondi tramite l’API X11. Il programma analizza il testo e cerca pattern negli indirizzi dei wallet di criptovalute. Le criptovalute supportate includono Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple e TON.
Se un indirizzo wallet appare nel buffer, ClipXDaemon sostituisce immediatamente la stringa con l’indirizzo dell’aggressore per la stessa criptovaluta. L’utente copia un indirizzo, ne incolla un altro e invia un trasferimento al wallet di qualcun altro senza accorgersi della sostituzione.
La caratteristica unica di ClipXDaemon è la sua totale assenza di infrastruttura di controllo. Il programma non comunica con i server di comando e controllo, non invia richieste di rete e non contiene indirizzi C2. Gli aggressori traggono profitto solo dalla falsificazione di un indirizzo durante una transazione di criptovaluta.
Questo approccio autonomo complica il rilevamento del malware tramite l’attività di rete, costringendo gli analisti ad affidarsi all’analisi comportamentale del dispositivo stesso.
Gli esperti raccomandano di limitare l’avvio dei programmi da directory utente come ~/.local/bin/, di monitorare le modifiche ai file di avvio come ~/.profile e ~/.bashrc e di utilizzare sistemi EDR con analisi comportamentale per Linux. Un ulteriore indicatore di infezione potrebbe essere un processo con il nome di un thread di sistema del kernel in esecuzione come utente normale.
ClipXDaemon dimostra il crescente interesse dei criminali informatici per i sistemi Linux. L’ascesa delle criptovalute e l’uso di Linux tra gli sviluppatori rendono tali attacchi sempre più redditizi.
