Microsoft попереджає: новий шкідливий софт викрадає дані з буфера обміну криптогаманців

Microsoft Threat Intelligence і експерти Microsoft Defender повідомили 17 червня, що нова штам-мальвар ем заразив а пристрої з Windows починаючи з лютого 2026 року. Загроза, так званий «кліппер», який тепер позначений Microsoft Defender Antivirus як «Trojan: Win32/CryptoBandits.A», призначена для виведення криптовалюти з гаманців користувачів шляхом моніторингу активності буфера обміну. Зловмисне ПЗ працює так: воно стежить за буфером обміну приблизно кожні 500 мілісекунд і непомітно замінює адреси криптовалютних гаманців на адреси, контрольовані атакувальниками, коли користувачі копіюють і вставляють деталі транзакцій. Цей атакувальний метод на основі буфера обміну використовує поширену практику копіювання адрес гаманців під час криптовалютних транзакцій, дозволяючи зловмисникам перенаправляти кошти без відома жертви.

Microsoft Identifies Malware Distribution Method

Згідно зі звітом Microsoft, кампанія починається з шкідливих файлів ярликів (.lnk), які розповсюджуються на USB-накопичувачах. Зловмисне ПЗ об’єднує два компоненти: «черв’яка», який розповсюджується сам, і викрадача, який збирає дані гаманців. «Черв’як» ховає легітимні документи на USB-пристрої та замінює їх замаскованими ярликами, тож коли користувач відкриває те, що виглядає як знайомий файл, насправді запускається шкідливе ПЗ без його усвідомлення.

Зловмисне ПЗ також шукає seed-phrase та приватні ключі — облікові дані, що відкривають криптогаманці. Щоб зберегти персистентність, воно запускається у прихованому вікні, налаштовує заплановані задачі та виключає власні файли зі сканування Defender. Зловмисне ПЗ перевіряє, чи відкритий Диспетчер завдань (Task Manager), і вимикається, якщо він відкритий — це тактика протидії аналізу, покликана обійти будь-кого, хто розслідує пристрій.

CryptoBandits Uses Tor-Based Infrastructure

Microsoft зазначає, що CryptoBandits розгортає портативний клієнт Tor і маршрутизує трафік через локальний проксі, щоб дістатися прихованого командно-контрольного сервера. Така схема дає змогу поєднати крадіжку даних із віддаленим виконанням коду, перетворюючи викрадача, який викачує гроші, на легкий бекдор, здатний виконувати подальші команди атакувальника. Інфраструктура на базі Tor дозволяє шкідливому ПЗ підтримувати непомітні канали зв’язку без використання традиційних інсталяторів або серверів, що піддаються виявленню.

FAQ

Що таке шкідливе ПЗ CryptoBandits, яке виявив Microsoft? CryptoBandits, позначений Microsoft Defender Antivirus як «Trojan: Win32/CryptoBandits.A», — це штам-мальвар, який приблизно кожні 500 мілісекунд моніторить активність буфера обміну та підмінює адреси криптовалютних гаманців на адреси, контрольовані атакувальниками. Microsoft Threat Intelligence і експерти Microsoft Defender повідомили 17 червня, що він заражає пристрої з Windows починаючи з лютого 2026 року.

Як CryptoBandits поширюється на пристрої? Згідно зі звітом Microsoft, шкідливе ПЗ поширюється через шкідливі файли ярликів (.lnk), які розповсюджуються на USB-накопичувачах. Компонент «черв’яка» ховає легітимні документи на USB-пристроях і замінює їх замаскованими ярликами, які запускають шкідливе ПЗ, коли користувач відкриває те, що виглядає як знайомий файл.

Яку інфраструктуру використовує CryptoBandits для зв’язку? Microsoft зазначає, що CryptoBandits розгортає портативний клієнт Tor і маршрутизує трафік через локальний проксі, щоб дістатися прихованого командно-контрольного сервера. Інфраструктура на базі Tor дозволяє шкідливому ПЗ підтримувати непомітні канали зв’язку та виконувати віддалені команди.