Microsoft objevil malware, který unáší kryptoměnové převody přes USB flash disky. Funguje to takto.

Společnost Microsoft Threat Intelligence 17. června oznámila, že od února 2026 sleduje malwarovou kampaň ve Windows, která se šíří prostřednictvím infikovaných USB disků a tiše zneužívá převody kryptoměn.

Malware, který program Microsoft Defender Antivirus detekuje jako Trojan:Win32/CryptoBandits, monitoruje schránku oběti zhruba každých 500 milisekund a nahrazuje zkopírované adresy peněženek adresami ovládanými útočníkem, než je uživatel vloží. Transakce se na obrazovce oběti normálně dokončí. Finanční prostředky pak putují úplně jinam.

Metoda infekce je stará, ale provedení je neobvykle sofistikované na to, co je obvykle jednoduchá třída malwaru.

Útok začíná, když je k již infikovanému počítači připojen čistý USB disk. Červ prohledává disk a hledá běžné soubory, včetně dokumentů Word, tabulek Excel a PDF, poté originály skryje a nahradí je škodlivými soubory zástupců s identickými názvy a ikonami.

Když je tento USB disk později připojen k jinému počítači a oběť klikne na něco, co vypadá jako její vlastní dokument, Průzkumník Windows automaticky zpracuje škodlivý soubor .lnk a náklad se spustí během několika sekund. Žádné stahování, žádný phishingový e-mail, žádný podezřelý odkaz. Jen USB disk, který vypadá zcela normálně.

Jakmile je malware aktivní na novém počítači, spustí dva procesy současně. Začne monitorovat schránku a hledá cenná data a čeká na další čistý USB disk, aby mohl cyklus šíření opakovat.

CryptoBandits se zaměřuje na tři specifické kategorie dat ze schránky a pochopení každé z nich je důležité pro posouzení vaší vlastní expozice:

• Seed fráze a soukromé klíče. Pokud z jakéhokoli důvodu, byť jen krátce, zkopírujete seed frázi peněženky nebo soukromý klíč, malware jej zachytí a přes síť Tor odnese na server útočníka.

• Snímky obrazovky. Malware pořídí pět snímků obrazovky s desetisekundovým odstupem, kdykoli detekuje relevantní aktivitu ve schránce, a zachytí tak vizuální kontext, který může útočník použít k potvrzení, co bylo ukradeno.

• Adresy peněženek příjemce. Toto je nejnebezpečnější schopnost. Když zkopírujete cílovou adresu pro odeslání finančních prostředků, malware ji tiše vymění za adresu ovládanou útočníkem, než ji vložíte. Vidíte svou vlastní adresu. Potvrdíte transakci. Peníze jdou útočníkovi.

Analýza společnosti Microsoft zjistila, že malware používá Windows Script Host a logiku řízenou ActiveX ke spuštění proxy serveru Tor a komunikaci se skrytým velitelským a řídicím serverem.

Také nastavuje naplánované úlohy pro perzistenci, což znamená, že přežije restart a monitorování probíhá neomezeně dlouho. Pokud server útočníka vrátí specifické příkazy, malware může za běhu spustit další kód, což mu dává možnosti nad rámec typického nástroje pro krádež peněženek.

Z incidentů, které jsme analyzovali v rámci tohoto bezpečnostního pásma, vyplývá, že standardní malware pro únos schránky existuje již léta a je relativně snadno detekovatelný, protože obvykle vyžaduje stálé internetové připojení k pevnému serveru. CryptoBandits směruje veškerou komunikaci přes Tor, což anonymizuje velitelskou a řídicí infrastrukturu a výrazně ztěžuje detekci v síti.

Šíření malwaru přes USB, které připomíná červy, je také významnou eskalací. Většina moderního malwaru se šíří prostřednictvím phishingových e-mailů, škodlivé reklamy nebo kompromitovaných souborů ke stažení. Fyzické šíření prostřednictvím vyměnitelných médií obchází e-mailové filtry, bezpečnostní varování prohlížeče a většinu nástrojů pro detekci koncových bodů, které jsou vyladěny na síťové hrozby. Bezpečnostní firma NS3.AI potvrdila, že uživatelé byli postiženi od února, a Binance po zveřejnění varování od Microsoftu sdílela přímo se svou vlastní uživatelskou základnou.

Doporučená opatření společnosti Microsoft jsou specifická a vyplatí se je okamžitě implementovat bez ohledu na to, zda jste si všimli něčeho neobvyklého:

• Zakažte automatické spouštění a automatické přehrávání pro všechna vyměnitelná média na každém počítači se systémem Windows, který používáte k obchodování.

• Blokovat spouštění souborů .lnk z USB disků na úrovni systémových zásad, pokud to váš operační systém umožňuje.

• Nikdy nekopírujte a nevkládejte adresu peněženky, aniž byste si pokaždé vizuálně ověřili, zda první a poslední znaky odpovídají vašim očekáváním.

• V žádném případě nekopírujte seed fráze nebo soukromé klíče do schránky. Zadejte je přímo nebo použijte hardwarovou peněženku, která klíč nikdy nezpřístupní operačnímu systému.

• Pokud jste od února používali na obchodním automatu neznámé USB disky, zkontrolujte své systémy podle indikátorů kompromitace, které společnost Microsoft zveřejnila na svém bezpečnostním blogu.

Zvyk ověřování adresy je v tomto případě nejdůležitější obranou. Celý model malwaru závisí na tom, že oběť důvěřuje, že to, co bylo zkopírováno, bude i vloženo. Obchodník, který před potvrzením převodu ručně zkontroluje první čtyři a poslední čtyři znaky cílové adresy, tento konkrétní útok porazí bez ohledu na to, zda je malware v jeho systému přítomen.

Investovaní obchodníci tráví značný čas přemýšlením o limitech propadů , velikosti pozic a tržním riziku. Kampaň CryptoBandits je připomínkou toho, že počítač, který provádí vaše obchody, je také součástí vaší rizikové plochy.

Únos schránky se nestará o to, jak disciplinovaná je vaše obchodní strategie. Nerespektuje váš stop-loss ani váš denní limit ztráty. Jednoduše čeká na převod a přesměruje ho. Z toho, co jsme letos pozorovali u bezpečnostních incidentů, vyplývá, že obchodníci, kteří se této kategorii ztrát zcela vyhnou, nepatří mezi technicky nejpropracovanější.

Jsou to oni, kdo se základním ověřováním zachází jako s nedílnou součástí zvyku, stejně jako se chovají k řízení rizik u každého obchodu. Ověřte každou adresu. Zpochybněte každý neznámý USB disk. Cena za kontrolu je vteřinová. Cena za nekontrolování nemá horní limit.