Pesquisadores de segurança da Cyble descobriram um novo malware para Linux chamado ClipXDaemon, que sequestra endereços de carteiras de criptomoedas alterando o conteúdo da área de transferência em sistemas baseados em X11. O malware opera sem servidores de comando e controle, monitorando e substituindo endereços em tempo real para redirecionar fundos aos atacantes. Ele utiliza um processo de infecção em múltiplos estágios e emprega técnicas de furtividade para evadir detecção.
ClipXDaemon, identificado pelos Laboratórios de Pesquisa e Inteligência (CRIL) da Cyble, surgiu no início de fevereiro de 2026 e visa ambientes desktop Linux que executam a interface gráfica X11. O malware chega por meio de uma cadeia de infecção em três estágios: um loader criptografado gerado pelo framework open-source bincrypter, um dropper residente em memória que descriptografa usando AES-256-CBC e descompressão gzip, e um payload ELF em disco escrito em ~/.local/bin/ com um nome de arquivo aleatório de oito a dezenove caracteres. Para persistência, o dropper anexa um comando de execução ao arquivo ~/.profile do usuário, garantindo que execute no login sem precisar de privilégios de root. Ao ser ativado, o ClipXDaemon verifica a existência de uma sessão X11; se detectar Wayland, termina imediatamente devido às restrições do Wayland ao acesso global à área de transferência. Em seguida, ele se torna um daemon por meio de um processo de double-fork, fecha descritores de arquivo e renomeia a si mesmo para “kworker/0:2-events” usando prctl(PR_SET_NAME) para imitar uma thread de worker do kernel, misturando-se às listas de processos de ferramentas como ps ou top. A funcionalidade principal envolve sondagem da área de transferência a cada 200 milissegundos via APIs X11 como XConvertSelection e XGetWindowProperty. Ele verifica padrões correspondentes a oito criptomoedas—Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple e TON—usando expressões regulares criptografadas descriptografadas com ChaCha20. Quando uma correspondência é encontrada, substitui o conteúdo por endereços controlados pelo atacante antes que a colagem ocorra. Carteiras de substituição confirmadas incluem as para Ethereum (0x502010513bf2d2B908A3C33DE5B65314831646e7), Bitcoin (bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle) e outras para Monero, Dogecoin, Litecoin e Tron. Nenhuma substituição foi observada para TON e Ripple, embora sejam monitoradas. Notavelmente, o ClipXDaemon não apresenta atividade de rede, não contendo domínios ou endereços IP incorporados, e não realiza consultas DNS ou conexões. Esse design sem C2 permite monetização direta sem infraestrutura remota. O loader compartilha semelhanças estruturais com o malware ShadowHS de janeiro de 2026, mas os pesquisadores não encontraram evidências de operadores compartilhados, atribuindo as sobreposições ao uso comum do bincrypter. Especialistas recomendam migrar para Wayland, auditar ~/.profile e ~/.local/bin/, e verificar endereços de carteiras manualmente antes de transações. O payload ELF evadiu detecção no VirusTotal no momento da análise.
