Специалисты Microsoft предупредили об обнаружении нового Windows-клиппера, который активен как минимум с февраля 2026 года. Вредонос распространяется через USB-накопители и создан для кражи криптовалюты. Он следит за буфером обмена, похищает seed-фразы и приватные ключи, подменяет адреса кошельков и отправляет своим операторам скриншоты.

Исследователи подчеркивают, что эта кампания выделяется необычной архитектурой. Вместо традиционного установщика и управляющих серверов малварь, получившая название CryptoBandits, разворачивает на машине жертвы портативный клиент Tor и связывается с управляющими серверами через .onion-сервисы. В результате обычный криптостилер фактически превращается в легковесный бэкдор с возможностью удаленного выполнения кода.

Атака начинается с обычной флешки, где злоумышленники размещают вредоносный файл LNK. Если пользователь открывает такой ярлык, запускается червь, который проверяет, заражена ли система, а затем загружает дополнительные компоненты с удаленного сервера.

После этого малварь ищет на накопителе документы популярных форматов — DOC, XLSX и PDF. Найденные файлы скрываются, а вместо них создаются одноименные ярлыки. Для пользователя все выглядит привычно: он дважды кликает по «документу», но после этого запускает вредонос.

Также червь следит за подключением новых USB-накопителей, на которые автоматически копирует себя, обеспечивая дальнейшее распространение. Для закрепления в системе создаются задачи планировщика Windows.

Основная полезная нагрузка этой кампании — клиппер. Перед запуском он проверяет список активных процессов и завершает работу, если обнаруживает диспетчер задач. Для взаимодействия с системой вредонос применяет Windows Script Host и ActiveX.

После запуска малварь активирует переименованный Tor-клиент, регистрирует жертву на управляющем сервере и начинает постоянный обмен командами через локальный SOCKS5-прокси. Одновременно каждые полсекунды вредонос анализирует содержимое буфера обмена.

Исследователи выяснили, что клиппер ищет:

  • seed-фразы BIP39 из 12 и 24 слов;
  • приватные ключи Ethereum;
  • WIF-ключи;
  • адреса кошельков Bitcoin legacy, P2SH, Bech32, Taproot, Ethereum, Tron и Monero.

Если пользователь копирует адрес криптокошелька, вредонос подменяет его в буфере на адрес, принадлежащий атакующим. Причем значения подбираются таким образом, чтобы визуально подменный адрес напоминал оригинал и не вызвал подозрений при беглой проверке.

Помимо этого, малварь делает пять скриншотов каждые 10 секунд и отправляет их своим операторам через Tor с помощью curl.

Как отмечают специалисты, наиболее опасная функция CryptoBandits связана с удаленным выполнением кода. Если управляющий сервер возвращает команду EVAL, вредонос загружает и запускает предоставленный злоумышленниками JavaScript-код.

В Microsoft подчеркивают, что обнаруживать эту угрозу лучше по поведению, а не по сигнатурам. Среди характерных признаков — активность wscript.exe и cscript.exe, неожиданные запуски PowerShell, cmd.exe и curl, соединения с localhost:9050, а также использование Tor.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии