Копируй, вставляй, теряй деньги. Новый вирус ClipXDaemon ворует криптовалюту на Linux
NewsMakerИсследователи обнаружили вредонос, подменяющий адреса кошельков в реальном времени.
Исследователи кибербезопасности обнаружили новый вредонос для Linux под названием ClipXDaemon. Программа незаметно перехватывает содержимое буфера обмена и подменяет адреса криптовалютных кошельков во время транзакций. Атака нацелена на пользователей криптовалют и работает в системах с графической подсистемой X11.
Вредонос впервые заметили в феврале 2026 года. ClipXDaemon распространяется через зашифрованный загрузчик на базе bincrypter - открытого инструмента для защиты shell-скриптов. Внутри загрузчика скрыт зашифрованный полезный код. Во время запуска система декодирует полезную нагрузку из base64, расшифровывает алгоритмом AES-256-CBC, распаковывает через gzip и запускает прямо в памяти. Такой подход усложняет анализ и затрудняет обнаружение традиционными антивирусами, поскольку расшифрованные компоненты не сохраняются на диске.
После выполнения загрузчика в системе появляется дополнительный модуль-дроппер. Дроппер выводит безобидное сообщение, чтобы не вызвать подозрений, затем извлекает встроенный ELF-файл и сохраняет программу ClipXDaemon в пользовательском каталоге, например ~/.local/bin/. Имя файла формируется случайным образом. Такой способ установки не требует прав администратора и помогает вредоносу маскироваться среди обычных пользовательских программ.
Дроппер делает файл исполняемым, запускает программу в фоне и добавляет строку запуска в ~/.profile. Благодаря такой записи ClipXDaemon автоматически запускается при каждом входе пользователя в систему и сохраняет постоянное присутствие после перезагрузки.
Исследователи кибербезопасности обнаружили новый вредонос для Linux под названием ClipXDaemon. Программа незаметно перехватывает содержимое буфера обмена и подменяет адреса криптовалютных кошельков во время транзакций. Атака нацелена на пользователей криптовалют и работает в системах с графической подсистемой X11.
Вредонос впервые заметили в феврале 2026 года. ClipXDaemon распространяется через зашифрованный загрузчик на базе bincrypter - открытого инструмента для защиты shell-скриптов. Внутри загрузчика скрыт зашифрованный полезный код. Во время запуска система декодирует полезную нагрузку из base64, расшифровывает алгоритмом AES-256-CBC, распаковывает через gzip и запускает прямо в памяти. Такой подход усложняет анализ и затрудняет обнаружение традиционными антивирусами, поскольку расшифрованные компоненты не сохраняются на диске.
После выполнения загрузчика в системе появляется дополнительный модуль-дроппер. Дроппер выводит безобидное сообщение, чтобы не вызвать подозрений, затем извлекает встроенный ELF-файл и сохраняет программу ClipXDaemon в пользовательском каталоге, например ~/.local/bin/. Имя файла формируется случайным образом. Такой способ установки не требует прав администратора и помогает вредоносу маскироваться среди обычных пользовательских программ.
Дроппер делает файл исполняемым, запускает программу в фоне и добавляет строку запуска в ~/.profile. Благодаря такой записи ClipXDaemon автоматически запускается при каждом входе пользователя в систему и сохраняет постоянное присутствие после перезагрузки.