Компания Microsoft обнаружила вредоносное ПО, которое захватывает криптовалютные кошельки и распространяется через USB-накопители

Программное обеспечение перехватывает файлы ярлыков и направляет их на установку червя, который собирает приватные ключи из буфера обмена Windows и вставляет собственные адреса кошельков назначения при обнаружении перевода.

A USB flash drive inserted into a laptop.
Summary
  • Вредоносное ПО, получившее название «крипто клиппер», распространяется через инфицированные USB-накопители и с февраля нацелено на криптокошельки пользователей Windows, сообщает Microsoft.
  • После установки через вредоносный ярлык .lnk, червь, известный как Trojan:Win32/CryptoBandits, отслеживает буфер обмена на наличие seed-фраз, приватных ключей и адресов получателей, передаёт данные через сеть Tor и может незаметно заменять адреса кошельков на контролируемые злоумышленниками.
  • Вредоносное ПО распространяется путем замены документов на чистых USB-накопителях ярлыками с идентичными именами
  • Microsoft призвала пользователей отключить AutoRun, заблокировать выполнение .lnk на USB-устройствах, ограничить использование скриптовых хостов и проверить сети на наличие опубликованных индикаторов компрометации.

Вредоносное ПО, распространяемое через USB-накопители, с февраля инфицирует персональные компьютеры на базе Windows и нацеливается на криптокошельки, Microsoft сообщил в блоге.

Компания называет это вредоносное ПО «крипто-клиппером», а антивирус Defender определяет его как Trojan:Win32/CryptoBandits.

Процесс начинается с заражённого USB-накопителя, содержащего вредоносный ярлык или ссылку. В Windows имена файлов ярлыков заканчиваются на ".lnk" и указывают операционной системе открыть определённую программу, папку или файл, расположенный в другом месте на вашем компьютере.

Когда пользователь подключает этот накопитель и нажимает на ярлык, на компьютер устанавливается тип вредоносного ПО, известный как «червь». После установки он выполняет две задачи: постоянно запускает фактический код для хищения криптовалютных кошельков и одновременно ожидает подключения нового, чистого USB-устройства к тому же ПК.

Компонент для кражи кошельков контролирует буфер обмена Windows, скрытую временную память, используемую для операций копирования и вставки, примерно каждые 500 миллисекунд. Когда пользователь копирует сид-фразу криптовалютного кошелька или приватный ключ для кошелька Bitcoin либо Ethereum, вредоносное ПО захватывает эти данные и отправляет их на сервер злоумышленника через сеть Tor — открытую оверлейную сеть, обеспечивающую анонимное общение. Кроме того, оно делает пять скриншотов с интервалом в десять секунд и также отправляет их.

Риск на этом не заканчивается.

Если пользователь копирует адрес получателя для отправки средств, червь тихо заменяет его на адрес, контролируемый злоумышленником, до того, как пользователь вставит его, поэтому перевод осуществляется злоумышленнику без каких-либо видимых признаков.

Наконец, червь распространяется, когда в компьютер подключается чистая USB-флешка. Он сканирует чистую USB-флешку на наличие обычных файлов, документов Word, таблиц Excel и PDF, заменяет их новыми файлами ярлыков с теми же именами и заражает накопитель. Затем цикл повторяется.

Microsoft рекомендует отключить функцию AutoRun для съемных носителей, заблокировать выполнение файлов .lnk на USB-устройствах через групповую политику и ограничить использование скриптовых хостов, таких как wscript.exe и cscript.exe. Клиенты Microsoft Defender также могут запускать поисковые запросы для проверки связанной активности, включая подключения к локальному Tor-прокси на порту 9050.

Microsoft опубликовала список индикаторов компрометации, включая хэши файлов и .onion домены, используемые в качестве серверов командования и управления, для проверки сетей службами безопасности.

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Почему это важно:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.