Компания Microsoft обнаружила вредоносное ПО, которое перехватывает криптографические переводы через USB-накопители. Вот как это работает.

17 июня подразделение Microsoft Threat Intelligence сообщило, что с февраля 2026 года отслеживает кампанию вредоносного ПО для Windows, распространяющегося через зараженные USB-накопители и незаметно перехватывающего переводы криптовалюты.

Вредоносная программа, которую антивирус Microsoft Defender обнаруживает как Trojan:Win32/CryptoBandits, отслеживает содержимое буфера обмена жертвы примерно каждые 500 миллисекунд и заменяет скопированные адреса кошельков на адреса, контролируемые злоумышленником, прежде чем пользователь их вставит. Транзакция завершается нормально на экране жертвы. Средства уходят совершенно в другое место.

Метод заражения старый, но способ его осуществления необычайно сложен для вредоносного ПО, которое обычно относится к простому классу.

Атака начинается с подключения чистого USB-накопителя к уже зараженному компьютеру. Червь сканирует накопитель на наличие распространенных файлов, включая документы Word, электронные таблицы Excel и PDF-файлы, затем скрывает оригиналы и заменяет их вредоносными файлами-ярлыками с идентичными именами и значками.

Когда этот USB-накопитель позже подключается к другому компьютеру, и жертва щелкает по файлу, который выглядит как её собственный, проводник Windows автоматически обрабатывает вредоносный файл .lnk, и вредоносная программа запускается за считанные секунды. Никакой загрузки, никаких фишинговых писем, никаких подозрительных ссылок. Просто USB-накопитель, который выглядит совершенно нормально.

После активации на новом компьютере вредоносная программа запускает два процесса одновременно. Она начинает отслеживать буфер обмена на предмет важных данных и ожидает следующего чистого USB-накопителя, чтобы повторить цикл распространения.

CryptoBandits нацелен на три конкретные категории данных из буфера обмена, и понимание каждой из них важно для оценки вашей собственной уязвимости:

• Сид-фразы и закрытые ключи. Если вы скопируете сид-фразу кошелька или закрытый ключ по какой-либо причине, даже на короткое время, вредоносная программа перехватит их и передаст на сервер злоумышленника через сеть Tor.

• Скриншоты. Вредоносная программа делает пять скриншотов с интервалом в десять секунд всякий раз, когда обнаруживает соответствующую активность в буфере обмена, захватывая визуальный контекст, который злоумышленник может использовать для подтверждения того, что было украдено.

• Адреса кошельков получателей. Это самая опасная функция. Когда вы копируете адрес назначения для отправки средств, вредоносная программа незаметно заменяет его адресом, контролируемым злоумышленником, прежде чем вы его вставите. Вы видите свой собственный адрес. Вы подтверждаете транзакцию. Деньги поступают злоумышленнику.

Анализ Microsoft показал, что вредоносная программа использует Windows Script Host и логику, управляемую ActiveX, для запуска встроенного прокси-сервера Tor и связи со скрытым сервером управления и контроля.

Кроме того, вредоносная программа настраивает запланированные задачи для обеспечения постоянного присутствия в системе, то есть она сохраняется после перезапуска и продолжает мониторинг неограниченно долго. Если сервер злоумышленника возвращает определенные команды, вредоносная программа может выполнить дополнительный код во время выполнения, что расширяет ее возможности по сравнению с обычным инструментом для кражи электронных кошельков.

Анализ инцидентов в этой области безопасности показал, что стандартные вредоносные программы, перехватывающие буфер обмена, существуют уже много лет и относительно легко обнаруживаются, поскольку обычно требуют постоянного подключения к интернету и стационарному серверу. CryptoBandits направляет всю связь через Tor, что анонимизирует инфраструктуру управления и контроля и значительно затрудняет обнаружение на уровне сети.

Распространение вредоносного ПО через USB-накопители, напоминающее червя, также представляет собой значительную эскалацию проблемы. Большинство современных вредоносных программ распространяются через фишинговые электронные письма, вредоносную рекламу или скомпрометированные загрузки. Физическое распространение через съемные носители обходит фильтры электронной почты, предупреждения безопасности браузеров и большинство инструментов обнаружения угроз на конечных устройствах, настроенных на сетевые угрозы. Компания NS3.AI подтвердила, что пользователи были затронуты этой проблемой с февраля, а Binance после публикации предупреждения Microsoft напрямую поделилась им со своей пользовательской базой.

Рекомендованные Microsoft меры по устранению проблем являются конкретными и заслуживают немедленного внедрения независимо от того, заметили ли вы что-либо необычное:

• Отключите автозапуск и автовоспроизведение для всех съемных носителей на каждом компьютере с Windows, который вы используете для торговли.

• Заблокируйте выполнение файлов .lnk с USB-накопителей на уровне системной политики, если ваша операционная система это разрешает.

• Никогда не копируйте и не вставляйте адрес кошелька, не убедившись визуально, что первые и последние несколько символов соответствуют ожидаемым, каждый раз.

• Избегайте копирования сид-фраз или закрытых ключей в буфер обмена. Вводите их напрямую или используйте аппаратный кошелек, который никогда не раскрывает ключ операционной системе.

• Проверьте свои системы на соответствие индикаторам компрометации, опубликованным Microsoft в своем блоге по безопасности, если вы использовали незнакомые USB-накопители на торговом компьютере с февраля.

Наиболее важной защитой здесь является привычка проверять адрес. Вся модель вредоносной программы основана на доверии жертвы к тому, что скопированный текст точно соответствует вставленному. Трейдер, который вручную проверяет первые четыре и последние четыре символа любого адреса назначения перед подтверждением перевода, нейтрализует эту конкретную атаку независимо от того, присутствует ли вредоносная программа в его системе.

Трейдеры, имеющие финансирование, тратят значительное время на обдумывание лимитов просадки , размеров позиций и рыночного риска. Кампания CryptoBandits напоминает о том, что компьютер, исполняющий ваши сделки, также является частью вашей поверхности риска.

Взломщик буфера обмена не обращает внимания на дисциплинированность вашей торговой стратегии. Он не соблюдает ваш стоп-лосс или дневной лимит убытков. Он просто ждет перевода и перенаправляет его. Судя по нашим наблюдениям за инцидентами в сфере безопасности, которые мы отслеживали в этом году, трейдеры, которые полностью избегают этой категории убытков, не являются самыми технически подкованными.

Это те, кто относится к элементарной проверке как к обязательной привычке, точно так же, как к управлению рисками в каждой сделке. Проверяйте каждый адрес. Задавайте вопросы по поводу каждой незнакомой USB-флешки. Стоимость проверки — секунды. Стоимость отказа от проверки не имеет верхнего предела.