Microsoft попереджає про нову шкідливу програму «Crypto Clipper», яка поширюється через заражені USB-накопичувачі

Команда Threat Intelligence компанії Microsoft детально описала новий складний штам Windows-заснованого шкідливого програмного забезпечення «clipper», який тихо цілиться у користувачів криптовалют з лютого 2026 року.

На відміну від типових сучасних кіберзагроз, це шкідливе ПО не використовує фішингові листи, зловмисні розширення браузерів або підроблені додатки гаманців. Замість цього, воно поширюється за старою доброю методикою: через заражені фізичні USB-накопичувачі.

Що таке Clipper Malware?

«Clipper» — це дуже специфічний тип зловмисного програмного забезпечення, створений для експлуатації універсальної цифрової звички: копіювання та вставлення.

Програма постійно моніторить буфер обміну комп’ютера — тимчасову цифрову пам’ять, яку використовують при копіюванні тексту. Коли вона виявляє чутливі фінансові дані, найчастіше адресу криптовалютного гаманця, вона мовчки замінює його на адресу, контрольовану зловмисником.

Ланцюг інфікування через USB

Згідно з доповіддю Microsoft, атака починається, коли користувач підключає зламаний USB-накопичувач і відкриває, здавалося б, звичайний документ. Насправді, це прихована ярлик-файл.

Після відкриття вірус мовчки встановлює себе і одразу намагається поширитися на будь-які інші знімні носії, підключені до машини, що дозволяє йому поширюватися між колегами, друзями та системами.

Якщо він активується у фоновому режимі, ставки стають надзвичайно високими:

• Викрадення коштів: Якщо користувач копіює адресу криптовалютного гаманця для здійснення транзакції, шкідливе ПО замінює його на адресу зловмисника. Воно навіть співпадає з першим і останнім символом оригінальної адреси, щоб обдурити користувача.
• Повне захоплення гаманця: Якщо користувач копіює чутливі дані для відновлення, такі як фрази насіння або приватні ключі, шкідливе ПО захоплює їх цілком, надаючи злочинцям повний контроль над коштами.

Темний режим через мережу Tor

Що робить цей штам незвичайним і небезпечним — це спосіб приховування слідів.

Замість прямого підключення до стандартних серверів інтернету, шкідливе ПО використовує вбудовану приховану версію мережі Tor. Направляючи всі викрадені дані через локальний проксі до секретного сайту .onion, воно легко уникає традиційних засобів мережевої безпеки, що моніторять звичайний інтернет-трафік.

Крім того, шкідливе ПО надає зловмисникам можливість віддаленого виконання команд. Це означає, що злочинці не просто крадуть криптовалюту; вони отримують постійний бекдор для запуску будь-якого коду на інфікованому комп’ютері.

Як захистити свої кошти

Оскільки це шкідливе ПО спеціально генерує фальшиві адреси, що імітують перші та останні символи вашого цільового призначення, випадкова «перевірка оком» не допоможе.

Щоб захистити свої активи, експерти з безпеки рекомендують кілька негайних заходів:

• Перевіряйте кожен символ: при переказі криптовалюти двічі перевіряйте всю стрічку адреси гаманця перед натисканням «відправити», а не лише зовнішні краї.
• Використовуйте апаратні гаманці: де можливо, застосовуйте апаратні гаманці. Ці пристрої вимагають фізичного підтвердження та перегляду повної, непідробленої адреси призначення на ізольованому екрані перед відправкою коштів.
• Відмовтеся від невідомих USB-накопичувачів: ставтеся з такою ж підозрою до фізичних флеш-накопичувачів, як і до підозрілих посилань у листах. Ніколи не підключайте ненадійний диск до важливого комп’ютера.

Чому це важливо

На відміну від масштабних зломів бірж, шкідливе ПО clipper безпосередньо націлюється на окремих інвесторів, захоплюючи просту дію копіювання та вставлення. Оскільки воно ідеально імітує вигляд реальних адрес гаманців, випадкова перевірка вже не достатня для захисту ваших коштів.

Залишайтеся в курсі з популярними крипто-свіжими новинами DailyCoin:
AI Crypto Tokens Slide Just as ETF Door Opens for Institutions
Kentucky Sues Polymarket and Kalshi, Challenging Trump-Era Crypto Policy

Люди також питають:

Що таке clipper malware? Clipper malware — це тип зловмисного програмного забезпечення, яке моніторить буфер обміну пристрою (тимчасове збереження скопійованого тексту). Коли воно виявляє певні дані, наприклад адресу криптовалютного гаманця, воно таємно замінює її на адресу, контрольовану зловмисником.

Як поширюється malware для перехоплення буфера обміну? Хоча багато кіберзагроз поширюються онлайн через фішингові листи або зловмисні завантаження, clipper malware також може поширюватися фізично через заражені USB-накопичувачі або поширюватися по локальній мережі.

Чому простий візуальний контроль недостатній для виявлення заміни адреси гаманця? Просунуте clipper malware може автоматично генерувати фальшиві адреси гаманців, що точно співпадають з першим і останнім символом оригінальної. Оскільки багато користувачів лише візуально перевіряють зовнішні краї довгої адреси, заміна легко залишається непоміченою.