Säkerhetsforskare på Cyble har upptäckt en ny Linux-malware kallad ClipXDaemon, som kapar kryptovalutaplånboksadresser genom att ändra klippbordets innehåll på X11-baserade system. Malware fungerar utan kommando- och kontrollservrar, övervakar och ersätter adresser i realtid för att omdirigera medel till angriparna. Den använder en flerstegs infektionsprocess och smygtekniker för att undvika detektering.
ClipXDaemon, identifierad av Cyble’s Research & Intelligence Labs (CRIL), dök upp i början av februari 2026 och riktar sig mot Linux-skrivbordsmiljöer som kör X11-grafikgränssnittet. Malware kommer via en tredelad infektionskedja: en krypterad loader genererad av det öppna källkodsramverket bincrypter, en minnesresident dropper som dekrypterar med AES-256-CBC och gzip-uppackning, samt en på-disk ELF-payload som skrivs till ~/.local/bin/ med ett slumpmässigt filnamn på åtta till nitton tecken. För uthållighet lägger droppare till ett körningskommando i användarens ~/.profile-fil och säkerställer därmed att den körs vid inloggning utan root-privilegier. Vid aktivering kontrollerar ClipXDaemon efter en X11-session; om Wayland upptäcks avslutas den omedelbart på grund av Waylands restriktioner för global klippbordsåtkomst. Den daemoniseras sedan via en dubbel-fork-process, stänger filbeskrivningar och döper om sig själv till ”kworker/0:2-events” med prctl(PR_SET_NAME) för att efterlikna en kärnans arbetstråd och smälta in i processlistor från verktyg som ps eller top. Kärnfunktionaliteten innebär att klippbordet avläses var 200:e millisekund via X11-API:er som XConvertSelection och XGetWindowProperty. Den skannar efter mönster som matchar åtta kryptovalutor – Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple och TON – med hjälp av krypterade reguljära uttryck som dekrypteras med ChaCha20. När en träff hittas ersätter den innehållet med av angriparen kontrollerade adresser innan inklistring sker. Bekräftade ersättningsplånböcker inkluderar de för Ethereum (0x502010513bf2d2B908A3C33DE5B65314831646e7), Bitcoin (bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle) samt andra för Monero, Dogecoin, Litecoin och Tron. Inga ersättningar observerades för TON och Ripple, även om dessa övervakas. Anmärkningsvärt saknar ClipXDaemon all nätverksaktivitet, innehåller inga inbäddade domäner eller IP-adresser och utför inga DNS-uppslag eller anslutningar. Denna C2-fria design möjliggör direkt monetarisering utan fjärrinfrastruktur. Loaders delar strukturella likheter med ShadowHS-malware från januari 2026, men forskarna fann inga bevis för gemensamma operatörer och tillskriver överlappningarna till det vanliga användandet av bincrypter. Experter rekommenderar övergång till Wayland, granskning av ~/.profile och ~/.local/bin/ samt manuell verifiering av plånboksadresser före transaktioner. ELF-payloaden undvek detektering på VirusTotal vid analysens tidpunkt.
