Microsoft предупреждает о новом вредоносном ПО, которое перехватывает буфер обмена криптокошельков

Эксперты Microsoft Threat Intelligence и Microsoft Defender Experts сообщили 17 июня, что новая разновидность вредоносного ПО заражает устройства с Windows с февраля 2026 года. Угроза, так называемый «клиппер», который теперь помечен Microsoft Defender Antivirus как «Trojan: Win32/CryptoBandits.A», предназначена для вывода криптовалюты с аккаунтов пользователей за счёт мониторинга буфера обмена. Вредоносное ПО работает, отслеживая буфер обмена примерно каждые 500 миллисекунд, и незаметно подменяет адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками, когда пользователи копируют и вставляют детали транзакций. Этот атакующий через буфер обмена метод использует распространённую практику копирования адресов кошельков во время криптовалютных переводов, позволяя атакующим перенаправлять средства без ведома жертвы.

Microsoft Identifies Malware Distribution Method

Согласно сообщению Microsoft, кампания начинается с вредоносных файлов ярлыков (.lnk), распространяемых на USB-накопителях. Вредоносное ПО объединяет два компонента: компонент-червь, который распространяется сам, и похититель, который собирает данные кошельков. Червь прячет легитимные документы на USB-устройстве и заменяет их замаскированными ярлыками, так что пользователь, открывающий то, что выглядит как знакомый файл, на самом деле запускает вредоносное ПО, не осознавая этого.

Также вредоносное ПО ищет seed-фразы и приватные ключи — учётные данные, которые открывают криптокошельки. Чтобы сохранять присутствие в системе, оно запускается в скрытом окне, настраивает запланированные задачи и исключает собственные файлы из сканирования Defender. Вредоносное ПО проверяет, открыт ли Диспетчер задач, и выключается, если он открыт — тактика против анализа, призванная обойти тех, кто расследует устройство.

CryptoBandits Uses Tor-Based Infrastructure

Microsoft заявляет, что CryptoBandits развёртывает портативный клиент Tor и направляет трафик через локальный прокси, чтобы добраться до скрытого сервера управления и контроля. Такая схема позволяет сочетать кражу данных с удалённым выполнением кода, превращая похитителя, ориентированного на деньги, в лёгкий бэкдор, который может запускать дальнейшие команды атакующего. Tor-ориентированная инфраструктура даёт вредоносному ПО возможность поддерживать скрытные каналы связи без опоры на традиционные установщики или на открытые серверы.

FAQ

Что за вредоносное ПО CryptoBandits обнаружила Microsoft?
CryptoBandits, помеченный Microsoft Defender Antivirus как «Trojan: Win32/CryptoBandits.A», — это разновидность вредоносного ПО, которая примерно каждые 500 миллисекунд отслеживает активность буфера обмена и подменяет адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками. Microsoft Threat Intelligence и Microsoft Defender Experts сообщили 17 июня, что с февраля 2026 года оно заражает устройства с Windows.

Как вредоносное ПО CryptoBandits распространяется на устройства?
Согласно сообщению Microsoft, вредоносное ПО распространяется через вредоносные файлы ярлыков (.lnk), размещаемые на USB-накопителях. Компонент-червь прячет легитимные документы на USB-устройствах и заменяет их замаскированными ярлыками, которые запускают вредоносное ПО, когда пользователи открывают то, что выглядит как знакомый файл.

Какую инфраструктуру использует CryptoBandits для связи?
Microsoft заявляет, что CryptoBandits развёртывает портативный клиент Tor и направляет трафик через локальный прокси, чтобы добраться до скрытого сервера управления и контроля. Такая Tor-ориентированная инфраструктура позволяет вредоносному ПО поддерживать скрытные каналы связи и выполнять удалённые команды.