Microsoft виявила шкідливе програмне забезпечення, яке викрадає криптовалютні перекази через USB-накопичувачі. Ось як це працює.

17 червня служба Microsoft Threat Intelligence повідомила, що з лютого 2026 року відстежує кампанію шкідливого програмного забезпечення для Windows, яке поширюється через заражені USB-накопичувачі та непомітно викрадає перекази криптовалюти.

Зловмисне програмне забезпечення, яке антивірус Microsoft Defender виявляє як Trojan:Win32/CryptoBandits, відстежує буфер обміну жертви приблизно кожні 500 мілісекунд і замінює скопійовані адреси гаманців на адреси, контрольовані зловмисником, перш ніж користувач їх вставляє. Транзакція завершується на екрані жертви звичайним чином. Кошти йдуть зовсім кудись в іншому місці.

Метод зараження старий, але його виконання надзвичайно складне для того, що зазвичай є простим класом шкідливого програмного забезпечення.

Атака починається, коли чистий USB-накопичувач підключається до вже зараженого комп'ютера. Черв'як сканує диск на наявність поширених файлів, включаючи документи Word, таблиці Excel та PDF-файли, потім приховує оригінали та замінює їх шкідливими файлами ярликів з ідентичними назвами та піктограмами.

Коли цей USB-накопичувач пізніше підключається до іншого комп’ютера, і жертва натискає на те, що виглядає як її власний документ, Провідник Windows автоматично обробляє шкідливий файл .lnk, і корисне навантаження виконується за лічені секунди. Ніякого завантаження, жодних фішингових електронних листів, жодного підозрілого посилання. Просто USB-накопичувач, який виглядає абсолютно нормально.

Після активації на новому комп’ютері шкідливе програмне забезпечення одночасно виконує два процеси. Воно починає моніторити буфер обміну на наявність цінних даних і чекає на наступний чистий USB-накопичувач, щоб повторити цикл поширення.

CryptoBandits орієнтований на три конкретні категорії даних буфера обміну, і розуміння кожної з них важливе для оцінки власного ризику:

• Насіння-фрази та закриті ключі. Якщо ви скопіюєте насіння-фразу гаманця або закритий ключ з будь-якої причини, навіть ненадовго, шкідливе програмне забезпечення захопить його та передасть на сервер зловмисника через мережу Tor.

• Знімки екрана. Шкідливе програмне забезпечення робить п'ять знімків екрана з інтервалом у десять секунд щоразу, коли виявляє відповідну активність у буфері обміну, фіксуючи візуальний контекст, який зловмисник може використовувати для підтвердження того, що було вкрадено.

• Адреси гаманців одержувача. Це найнебезпечніша можливість. Коли ви копіюєте адресу призначення для надсилання коштів, шкідливе програмне забезпечення непомітно замінює її на адресу, контрольовану зловмисником, перш ніж ви її вставите. Ви бачите свою власну адресу. Ви підтверджуєте транзакцію. Гроші йдуть зловмиснику.

Аналіз Microsoft показав, що шкідливе програмне забезпечення використовує хост сценаріїв Windows та логіку, керовану ActiveX, для запуску проксі-сервера Tor та зв'язку з прихованим сервером командного та контрольного обслуговування.

Він також налаштовує заплановані завдання для постійного виконання, тобто вони переживають перезапуск і продовжують моніторинг необмежений час. Якщо сервер зловмисника повертає певні команди, шкідливе програмне забезпечення може виконувати додатковий код під час виконання, що надає йому можливості, що виходять за рамки типового інструменту для крадіжки гаманців.

З інцидентів, які ми проаналізували протягом цього періоду безпеки, стандартне шкідливе програмне забезпечення для захоплення буфера обміну існує вже роками і його відносно легко виявити, оскільки воно зазвичай вимагає постійного підключення до Інтернету до стаціонарного сервера. CryptoBandits направляє весь зв'язок через Tor, що анонімізує інфраструктуру командування та управління та значно ускладнює виявлення на основі мережі.

Поширення через USB, схоже на черв'яка, також є значущою ескалацією. Більшість сучасних шкідливих програм поширюються через фішингові електронні листи, шкідливу рекламу або скомпрометовані завантаження. Фізичне поширення через знімні носії обходить фільтри електронної пошти, попередження безпеки браузера та більшість інструментів виявлення кінцевих точок, налаштованих на мережеві загрози. Компанія з безпеки NS3.AI підтвердила, що користувачі постраждали з лютого, а Binance поділилася попередженням Microsoft безпосередньо зі своєю базою користувачів після розкриття інформації.

Рекомендовані корпорацією Майкрософт заходи щодо пом’якшення наслідків є конкретними та їх варто впровадити негайно, незалежно від того, чи помітили ви щось незвичне:

• Вимкніть автозапуск та автовідтворення для всіх знімних носіїв на кожному комп'ютері з ОС Windows, який ви використовуєте для торгівлі.

• Блокувати виконання файлів .lnk з USB-накопичувачів на рівні системної політики, якщо ваша операційна система це дозволяє

• Ніколи не копіюйте та не вставляйте адресу гаманця, не перевіривши візуально, чи перші та останні кілька символів відповідають вашим очікуванням, кожного разу

• Уникайте копіювання порожніх фраз або закритих ключів у буфер обміну. Вводьте їх безпосередньо або використовуйте апаратний гаманець, який ніколи не надає ключ операційній системі.

• Перевірте свої системи на наявність ознак компрометації, опублікованих Microsoft у своєму блозі з безпеки, якщо ви використовували незнайомі USB-накопичувачі на торговому автоматі з лютого.

Звичка перевірки адреси є найважливішим захистом у цьому випадку. Вся модель шкідливого програмного забезпечення залежить від того, що жертва довіряє тому, що те, що було скопійовано, те й буде вставлено. Трейдер, який вручну перевіряє перші чотири та останні чотири символи будь-якої адреси призначення перед підтвердженням переказу, запобігає цій конкретній атаці незалежно від того, чи присутнє шкідливе програмне забезпечення в його системі.

Фінансовані трейдери витрачають багато часу на роздуми про ліміти просадок , розмір позиції та ринковий ризик. Кампанія CryptoBandits нагадує нам, що комп'ютер, який виконує ваші угоди, також є частиною вашої поверхні ризику.

Викраданню буфера обміну байдуже, наскільки дисциплінована ваша торгова стратегія. Воно не враховує ваш стоп-лос або ваш щоденний ліміт збитків. Воно просто чекає на переказ коштів і перенаправляє їх. З того, що ми спостерігали під час інцидентів безпеки, які відстежували цього року, трейдери, які повністю уникають цієї категорії втрат, не є найдосвідченішими технічно.

Саме вони ставляться до базової перевірки як до невідкладної звички, так само, як вони ставляться до управління ризиками в кожній угоді. Перевіряйте кожну адресу. Розпитуйте кожен незнайомий USB-накопичувач. Вартість перевірки – секунди. Вартість відсутності перевірки не має верхньої межі.