Microsoft Threat Intelligence 19 июня предупредила владельцев криптовалют о новом вредоносном коде под названием Crypto Clipper. Он распространяется через USB-накопители и незаметно подменяет скопированные адреса кошельков на адреса злоумышленников. Опасность не только в прямой краже. Малвар открывает бэкдор в систему жертвы и позволяет злоумышленникам запускать любой код дистанционно.
Как вирус попадает на компьютер
Малвар активен как минимум с февраля 2026 года. Распространение через USB-носители отличает его от типичных загрузчиков через браузер или электронную почту. Вирус скрывает настоящие файлы на флешке и заменяет их ярлыками-двойниками. Жертва открывает якобы обычный документ или папку, даже не подозревая, что запускает вредоносный код.
Параллельно разворачиваются два компонента. Червь (worm) автоматически перебрасывается на новые USB-устройства, подключённые к заражённой машине, превращая каждую новую флешку в переносчика. Стилер (stealer) занимается кражей данных. Два обфусцированных JavaScript-пейлоада оседают в папке Documents Windows, а запланированные задания запускают их при каждом старте системы. Установка не требует традиционного инсталлятора и не оставляет известных IP-адресов в сетевом трафике, что усложняет обнаружение.
Исследователи Microsoft отметили, что малвар не зависит от классической IP-инфраструктуры. Антивирусные сигнатуры, ориентированные на поведение обычных загрузчиков, могут пропустить такую угрозу. Обновлённые базы сигнатур это единственная надёжная автоматическая линия защиты.
Что именно крадёт малвар
В буфере обмена Crypto Clipper охотится за финансовыми данными нескольких типов:
- Мнемонические фразы BIP39: наборы из 12 или 24 слов для восстановления кошелька (достаточно для полного доступа к средствам на любом устройстве).
- Приватные ключи Bitcoin и Ethereum.
- Адреса кошельков Bitcoin, Tron и Monero: малвар подменяет их в реальном времени на подконтрольные злоумышленникам.
- Скриншоты каждые 10 секунд для сбора дополнительного контекста.
Подмена адресов особенно коварна. Человек видит адрес в поле получателя, не подозревая, что малвар уже заменил его. Только тщательная сверка каждого символа до и после вставки выявит подмену. Одна секунда внимания спасает все средства.
Tor вместо открытых серверов
Вирус тайно устанавливает копию Tor-клиента под именем ugate.exe, маскируя его под системный процесс. Через анонимную Tor-сеть операторы малвара подключаются к .onion-адресам и дистанционно отправляют команды. Открытых IP-адресов нет, поэтому традиционная сетевая блокировка не срабатывает.
"Сочетание Tor-маршрутизированного командного канала, перехвата буфера обмена, захвата экрана и выполнения произвольного кода даёт злоумышленникам и немедленный монетарный путь, и длительный контроль над заражёнными устройствами."
- Microsoft Threat Intelligence, предупреждение от 19 июня 2026
Через такой бэкдор злоумышленники могут в любой момент загрузить и запустить ransomware или другой код. Первоначальная кража крипты превращается в точку входа для более масштабной атаки.
Как защититься
Microsoft рекомендует Windows-пользователям отключить автозапуск на съёмных носителях, заблокировать выполнение .lnk-файлов с USB и настроить мониторинг нестандартной прокси-активности и порождённых скриптов. Microsoft Defender обнаруживает угрозу как Trojan:Win32/CryptoBandits.A и нейтрализует её при актуальных сигнатурах.
Владельцам крипты достаточно одной привычки. Всегда сверяйте первые и последние 6-8 символов адреса после вставки и не торопитесь с подтверждением транзакции. Для крупных сумм лучше использовать аппаратный кошелёк Ledger, который показывает адрес на собственном защищённом экране и полностью недоступен для clipboard-атак.
Почему злоумышленники переходят от фишинга к USB
Crypto Clipper не единичная история. 2026-й год приносит волну новых крипто-стилеров для Windows. В начале июня команда Foresiet Threat Intel выявила Lucid Stealer, атакующий браузерные расширения и криптокошельки. В мае TrapDoor встраивался в npm и PyPI пакеты, нацеливаясь на разработчиков.
Новые атаки строятся на доверенных каналах, а не на классическом фишинге. USB-флешку несёт коллега или оставляет незнакомец в кафе. Npm-пакет устанавливает сам разработчик. Браузерное расширение ставит конечный пользователь. Антивирусы уже научились блокировать подозрительные письма, поэтому злоумышленники идут туда, где защита ещё слабее. Проверьте адрес перед каждым переводом. Это пять секунд, которые спасают счёт.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *