Копируй, вставляй, теряй деньги. Новый вирус ClipXDaemon ворует криптовалюту на Linux

Исследователи кибербезопасности обнаружили новый вредонос для Linux под названием ClipXDaemon. Программа незаметно перехватывает содержимое буфера обмена и подменяет адреса криптовалютных кошельков во время транзакций. Атака нацелена на пользователей криптовалют и работает в системах с графической подсистемой X11.

Вредонос впервые заметили в феврале 2026 года. ClipXDaemon распространяется через зашифрованный загрузчик на базе bincrypter - открытого инструмента для защиты shell-скриптов. Внутри загрузчика скрыт зашифрованный полезный код. Во время запуска система декодирует полезную нагрузку из base64, расшифровывает алгоритмом AES-256-CBC, распаковывает через gzip и запускает прямо в памяти. Такой подход усложняет анализ и затрудняет обнаружение традиционными антивирусами, поскольку расшифрованные компоненты не сохраняются на диске.

После выполнения загрузчика в системе появляется дополнительный модуль-дроппер. Дроппер выводит безобидное сообщение, чтобы не вызвать подозрений, затем извлекает встроенный ELF-файл и сохраняет программу ClipXDaemon в пользовательском каталоге, например ~/.local/bin/. Имя файла формируется случайным образом. Такой способ установки не требует прав администратора и помогает вредоносу маскироваться среди обычных пользовательских программ.

Дроппер делает файл исполняемым, запускает программу в фоне и добавляет строку запуска в ~/.profile. Благодаря такой записи ClipXDaemon автоматически запускается при каждом входе пользователя в систему и сохраняет постоянное присутствие после перезагрузки.

Основной модуль представляет собой 64-битное Linux-приложение, связанное с библиотеками X11. При запуске программа проверяет используемый графический сервер. Если система работает на Wayland, вредонос завершает работу, поскольку архитектура Wayland не позволяет глобально отслеживать буфер обмена. На системах с X11 программа отделяется от терминала и меняет имя процесса, имитируя поток ядра вроде kworker, чтобы выглядеть как системная задача в списке процессов.

После запуска ClipXDaemon проверяет содержимое буфера обмена примерно каждые 200 миллисекунд через API X11. Программа анализирует текст и ищет шаблоны адресов криптовалютных кошельков. Поддерживаются Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple и TON.

Если в буфере появляется адрес кошелька, ClipXDaemon мгновенно заменяет строку на адрес злоумышленников для той же криптовалюты. Пользователь копирует один адрес, вставляет другой и отправляет перевод на чужой кошелёк, не заметив подмену.

Особенность ClipXDaemon заключается в полном отсутствии управляющей инфраструктуры. Программа не связывается с командными серверами, не отправляет сетевые запросы и не содержит адресов C2. Доход злоумышленников появляется только в случае успешной подмены адреса во время криптовалютной транзакции. Такой автономный подход усложняет обнаружение вредоноса по сетевой активности и заставляет аналитиков полагаться на поведенческий анализ на самом устройстве.

Эксперты рекомендуют ограничивать запуск программ из пользовательских каталогов вроде ~/.local/bin/, контролировать изменения файлов автозапуска — ~/.profile и ~/.bashrc — и использовать системы EDR с поведенческим анализом для Linux. Дополнительным признаком заражения может служить процесс с именем системного потока ядра, запущенный от имени обычного пользователя.

ClipXDaemon демонстрирует растущий интерес к Linux-системам со стороны киберпреступников. Распространение криптовалют и использование Linux в среде разработчиков делают подобные атаки всё более выгодными.