✔USB-червь распространяет малварь для кражи криптовалюты - «Новости»

23 июня 2026 0 Новости / Преимущества стилей / Заработок / Линии и рамки / Изображения 0

Исследователи подчеркивают, что эта кампания выделяется необычной архитектурой. Вместо традиционного установщика и управляющих серверов малварь, получившая название CryptoBandits, разворачивает на машине жертвы портативный клиент Tor и связывается с управляющими серверами через .onion-сервисы. В результате обычный криптостилер фактически превращается в легковесный бэкдор с возможностью удаленного выполнения кода.

Атака начинается с обычной флешки, где злоумышленники размещают вредоносный файл LNK. Если пользователь открывает такой ярлык, запускается червь, который проверяет, заражена ли система, а затем загружает дополнительные компоненты с удаленного сервера.

После этого малварь ищет на накопителе документы популярных форматов — DOC, XLSX и PDF. Найденные файлы скрываются, а вместо них создаются одноименные ярлыки. Для пользователя все выглядит привычно: он дважды кликает по «документу», но после этого запускает вредонос.

Также червь следит за подключением новых USB-накопителей, на которые автоматически копирует себя, обеспечивая дальнейшее распространение. Для закрепления в системе создаются задачи планировщика Windows.

Основная полезная нагрузка этой кампании — клиппер. Перед запуском он проверяет список активных процессов и завершает работу, если обнаруживает диспетчер задач. Для взаимодействия с системой вредонос применяет Windows Script Host и ActiveX.

После запуска малварь активирует переименованный Tor-клиент, регистрирует жертву на управляющем сервере и начинает постоянный обмен командами через локальный SOCKS5-прокси. Одновременно каждые полсекунды вредонос анализирует содержимое буфера обмена.

Исследователи выяснили, что клиппер ищет:

seed-фразы BIP39 из 12 и 24 слов;

приватные ключи Ethereum;

WIF-ключи;

адреса кошельков Bitcoin legacy, P2SH, Bech32, Taproot, Ethereum, Tron и Monero.

Если пользователь копирует адрес криптокошелька, вредонос подменяет его в буфере на адрес, принадлежащий атакующим. Причем значения подбираются таким образом, чтобы визуально подменный адрес напоминал оригинал и не вызвал подозрений при беглой проверке.

Помимо этого, малварь делает пять скриншотов каждые 10 секунд и отправляет их своим операторам через Tor с помощью curl.

Как отмечают специалисты, наиболее опасная функция CryptoBandits связана с удаленным выполнением кода. Если управляющий сервер возвращает команду EVAL, вредонос загружает и запускает предоставленный злоумышленниками jаvascript-код.

В Microsoft подчеркивают, что обнаруживать эту угрозу лучше по поведению, а не по сигнатурам. Среди характерных признаков — активность wscript.exe и cscript.exe, неожиданные запуски PowerShell, cmd.exe и curl, соединения с localhost:9050, а также использование Tor.

Специалисты Microsoft предупредили об обнаружении нового Windows-клиппера, который активен как минимум с февраля 2026 года. Вредонос распространяется через USB-накопители и создан для кражи криптовалюты. Он следит за буфером обмена, похищает seed-фразы и приватные ключи, подменяет адреса кошельков и отправляет своим операторам скриншоты. Исследователи подчеркивают, что эта кампания выделяется необычной архитектурой. Вместо традиционного установщика и управляющих серверов малварь, получившая название CryptoBandits, разворачивает на машине жертвы портативный клиент Tor и связывается с управляющими серверами через .onion-сервисы. В результате обычный криптостилер фактически превращается в легковесный бэкдор с возможностью удаленного выполнения кода. Атака начинается с обычной флешки, где злоумышленники размещают вредоносный файл LNK. Если пользователь открывает такой ярлык, запускается червь, который проверяет, заражена ли система, а затем загружает дополнительные компоненты с удаленного сервера. После этого малварь ищет на накопителе документы популярных форматов — DOC, XLSX и PDF. Найденные файлы скрываются, а вместо них создаются одноименные ярлыки. Для пользователя все выглядит привычно: он дважды кликает по «документу», но после этого запускает вредонос. Также червь следит за подключением новых USB-накопителей, на которые автоматически копирует себя, обеспечивая дальнейшее распространение. Для закрепления в системе создаются задачи планировщика Windows. Основная полезная нагрузка этой кампании — клиппер. Перед запуском он проверяет список активных процессов и завершает работу, если обнаруживает диспетчер задач. Для взаимодействия с системой вредонос применяет Windows Script Host и ActiveX. После запуска малварь активирует переименованный Tor-клиент, регистрирует жертву на управляющем сервере и начинает постоянный обмен командами через локальный SOCKS5-прокси. Одновременно каждые полсекунды вредонос анализирует содержимое буфера обмена. Исследователи выяснили, что клиппер ищет: seed-фразы BIP39 из 12 и 24 слов; приватные ключи Ethereum; WIF-ключи; адреса кошельков Bitcoin legacy, P2SH, Bech32, Taproot, Ethereum, Tron и Monero. Если пользователь копирует адрес криптокошелька, вредонос подменяет его в буфере на адрес, принадлежащий атакующим. Причем значения подбираются таким образом, чтобы визуально подменный адрес напоминал оригинал и не вызвал подозрений при беглой проверке. Помимо этого, малварь делает пять скриншотов каждые 10 секунд и отправляет их своим операторам через Tor с помощью curl. Как отмечают специалисты, наиболее опасная функция CryptoBandits связана с удаленным выполнением кода. Если управляющий сервер возвращает команду EVAL, вредонос загружает и запускает предоставленный злоумышленниками jаvascript-код. В Microsoft подчеркивают, что обнаруживать эту угрозу лучше по поведению, а не по сигнатурам. Среди характерных признаков — активность wscript.exe и cscript.exe, неожиданные запуски PowerShell, cmd.exe и curl, соединения с localhost:9050, а также использование Tor.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.