Microsoft Threat Intelligence 19 червня попередила власникiв криптовалют про новий шкiдливий код пiд назвою Crypto Clipper. Вiн поширюється через USB-накопичувачi i непомiтно пiдмiняє скопiйованi адреси гаманцiв на адреси зловмисникiв. Небезпека не тiльки у прямiй крадiжцi. Малвар вiдкриває бекдор у систему жертви i дозволяє зловмисникам запускати будь-який код дистанцiйно.
Як вiрус потрапляє на комп'ютер
Малвар активний принаймнi з лютого 2026 року. Поширення через USB-носiї вiдрiзняє його вiд типових завантажувачiв через браузер або електронну пошту. Вiрус ховає справжнi файли на флешцi i замiнює їх ярликами-двiйниками. Жертва вiдкриває нiбито звичайний документ або папку i навiть не пiдозрює, що запускає шкiдливий код.
Паралельно розгортаються два компоненти. Хробак (worm) автоматично перекидається на новi USB-пристрої, пiдключенi до зараженої машини, тому кожна нова флешка стає переносником. Стiлер (stealer) займається крадiжкою даних. Два обфускованих JavaScript-пейлоади осiдають у папцi Documents Windows, а запланованi завдання запускають їх при кожному стартi системи. Встановлення не потребує традицiйного iнсталятора i не залишає вiдомих IP-адрес у мережевому трафiку, що ускладнює виявлення.
Дослiдники Microsoft вiдзначили, що малвар не залежить вiд класичної IP-iнфраструктури. Антивiруснi сигнатури, орiєнтованi на поведiнку звичайних завантажувачiв, можуть пропустити таку загрозу. Оновленi бази сигнатур це єдина надiйна автоматична лiнiя захисту.
Що саме краде малвар
У буферi обмiну Crypto Clipper полює на фiнансовi данi кiлькох типiв:
- Мнемонiчнi фрази BIP39: набори з 12 або 24 слiв для вiдновлення гаманця (достатньо для повного доступу до коштiв на будь-якому пристрої).
- Приватнi ключi Bitcoin та Ethereum.
- Адреси гаманцiв Bitcoin, Tron i Monero: малвар пiдмiняє їх у реальному часi на пiдконтрольнi зловмисникам.
- Скрiншоти кожнi 10 секунд для збору додаткового контексту.
Пiдмiна адрес особливо пiдступна. Людина бачить адресу в полi одержувача, не пiдозрюючи, що малвар уже замiнив її. Тiльки ретельне звiряння кожного символу до i пiсля вставки виявить пiдмiну. Одна секунда уваги рятує всi кошти.
Tor замiсть вiдкритих серверiв
Вiрус потайки встановлює копiю Tor-клiєнта пiд iменем ugate.exe, маскуючи його пiд системний процес. Через анонiмну Tor-мережу оператори малвару пiдключаються до .onion-адрес i дистанцiйно надсилають команди. Жодних вiдкритих IP-адрес, тому традицiйне мережеве блокування не спрацьовує.
"Поєднання Tor-маршрутизованого командного каналу, перехоплення буфера обмiну, захоплення екрана та виконання довiльного коду дає зловмисникам i миттєвий монетарний шлях, i тривалий контроль над зараженими пристроями."
- Microsoft Threat Intelligence, попередження вiд 19 червня 2026
Через такий бекдор зловмисники можуть у будь-який момент завантажити i запустити ransomware або iнший код. Первiсна крадiжка крипти перетворюється на точку входу для масштабнiшої атаки.
Як захиститися
Microsoft рекомендує Windows-користувачам вимкнути автозапуск на знiмних носiях, заблокувати виконання .lnk-файлiв з USB i налагодити монiторинг нестандартної проксi-активностi та породжених скриптiв. Microsoft Defender виявляє загрозу як Trojan:Win32/CryptoBandits.A i нейтралiзує її за умови актуальних сигнатур.
Власникам крипти достатньо одного звичку. Завжди звiряйте першi i останнi 6-8 символiв адреси пiсля вставки i не поспiшайте з пiдтвердженням транзакцiї. Для великих сум краще використовувати апаратний гаманець Ledger, що показує адресу на власному захищеному екранi i недосяжний для clipboard-атак.
Чому зловмисники переходять вiд фiшингу до USB
Crypto Clipper не поодинока подiя. 2026-й рiк приносить хвилю нових крипто-стiлерiв для Windows. На початку червня команда Foresiet Threat Intel виявила Lucid Stealer, що атакує браузернi розширення i криптогаманцi. У травнi TrapDoor вбудовувався у npm та PyPI пакети, цiлячись у розробникiв.
Спiльна тактика нових атак полягає у використаннi довiрених каналiв замiсть класичного фiшингу. USB-флешку несе колега або залишає незнайомець у кафе. Npm-пакет встановлює сам розробник. Браузерне розширення ставить кiнцевий користувач. Антивiруси вже навчились блокувати пiдозрiлi листи, тож зловмисники йдуть туди, де захист ще слабший. Перевiрте адресу перед кожним переказом. Це п'ять секунд, якi рятують рахунок.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *