Microsoft Threat Intelligence обнаружила новую вредоносную программу Crypto Clipper, которая с февраля 2026 года охотится за криптовалютными кошельками пользователей по всему миру. Вредонос распространяется через обычные USB-флешки и использует сеть Tor для анонимной кражи данных. По сути, это не просто вор, а полноценный удалённый бэкдор, который превращает заражённый компьютер в марионетку злоумышленников.
🔬 Как работает Crypto Clipper: анатомия атаки
Всё начинается с безобидного на первый взгляд файла-ярлыка .lnk на USB-накопителе. Когда пользователь подключает заражённую флешку и открывает файл, запускается вредоносный скрипт. Если система ещё не заражена, червь загружает основную полезную нагрузку через Tor и SOCKS5-прокси.
Дальше — самое интересное. Вредонос не оставляет следов:
Крадёт seed-фразы и приватные ключи из буфера обмена, проверяя его каждые 500 миллисекунд. Обнаружив 12- или 24-словную фразу BIP39, он сохраняет её локально и отправляет злоумышленникам через Tor.
Подменяет адреса кошельков в буфере обмена на адреса attackers. Вы копируете адрес для перевода, вставляете его — а деньги уходят совсем не туда. И вы даже не заметите, если не проверите каждый символ вручную.
Делает пять скриншотов за 10 секунд и отправляет их через Tor. Это даёт злоумышленникам полную картину того, что вы делаете с кошельком.
Выполняет удалённые команды через C2-сервер. Если злоумышленники отправляют команду EVAL, червь скачивает и запускает произвольный JavaScript-код. Это превращает простого вора в полноценного удалённого управляющего вашим компьютером.
Все компоненты шифрованы и дешифруются только во время выполнения, обфусцированы с помощью PyArmor и упакованы через PyInstaller. Обнаружить его до активации практически невозможно.
🧠 Мнение экспертов: почему это серьёзнее, чем кажется
Microsoft Threat Intelligence называет эту угрозу «лёгким бэкдором», который сочетает анонимную коммуникацию и удалённое выполнение команд. «Эта комбинация даёт злоумышленникам как немедленные пути монетизации, так и постоянный контроль над заражёнными устройствами».
Security Affairs отмечает, что отказ от традиционной C2-инфраструктуры в пользу Tor делает червя практически неуловимым для классических средств обнаружения. Вредонос не оставляет следов в виде реальных IP-адресов — только .onion-домены и локальный прокси на порту 9050.
Ars Technica подчёркивает: червь распространяется через файлы .lnk, которые выглядят как обычные документы — .doc, .xlsx, .pdf. Пользователь думает, что открывает таблицу или текстовый файл, а на самом деле запускает вредоносный код.
⚠️ Признаки заражения: что должно насторожить
Microsoft выделяет несколько поведенческих сигналов, на которые стоит обратить внимание:
Необычные дочерние процессы от скриптовых интерпретаторов (wscript, cscript, PowerShell)
Использование локального прокси на порту 9050 (стандартный порт Tor)
Команды захвата экрана в PowerShell
Подозрительная активность в буфере обмена или подмена скопированных адресов
Microsoft Defender для конечных точек обнаруживает компоненты угрозы как подозрительные JavaScript-процессы и возможную утечку данных через curl. Антивирус Microsoft Defender идентифицирует угрозу jako Trojan:Win32/CryptoBandits.A.
🛡️ Как защититься: практические рекомендации
Никогда не открывайте файлы .lnk с неизвестных USB-накопителей. Даже если файл называется «отчёт.xlsx» — это может быть ярлык, запускающий вредоносный код.
Отключите автозапуск USB-устройств. Вредонос активируется при подключении флешки, даже если вы ничего не открываете.
Вручную проверяйте адреса кошельков перед отправкой транзакции. Не полагайтесь на буфер обмена — сверяйте первые и последние символы адреса.
Используйте аппаратные кошельки для хранения крупных сумм. Они не зависят от буфера обмена и не подвержены подмене адресов.
Держите Windows и антивирус обновлёнными. Defender уже обнаруживает эту угрозу — но только если обновления установлены.
Проверяйте активные сетевые соединения — если видите процесс, использующий порт 9050, это серьёзный повод для беспокойства.
🏁 ИТОГ
Crypto Clipper — это не просто ещё один вирус. Это пример того, как киберпреступность адаптируется к новым реалиям: анонимные сети, скриптовые бэкдоры и автоматизированная кража криптовалют. Вредонос активен как минимум с февраля 2026 года, и, по данным Microsoft, число заражений продолжает расти.
В эпоху, когда криптовалюты становятся всё более популярным инструментом сбережения и инвестиций, такие угрозы — прямое напоминание: безопасность ваших активов начинается с вас самих. Одна неосторожно вставленная флешка может обнулить кошелёк за считанные секунды. И вы даже не поймёте, как это произошло.
А вы используете USB-накопители для работы с криптокошельками? Проверяли свои устройства на наличие подозрительных .lnk-файлов? Делитесь в комментариях! 👇
⚠️ Важно: Данный материал носит исключительно информационный характер и не является индивидуальной инвестиционной рекомендацией. Все решения о покупке или продаже криптовалют и цифровых активов принимаются вами самостоятельно с учётом вашего риск-профиля и финансовых возможностей. Автор и канал не несут ответственности за возможные убытки.
Ставьте 🚀, если пост был полезен.