Вредоносная программа CryptoBandits позволяет преступникам использовать USB-накопитель для доступа к криптовалютным кошелькам — предупреждает Microsoft

Последнее исследование Microsoft в области крипто-вредоносного ПО указывает на криптовалютные кошельки — одно из нескольких мест, где транзакция может дать сбой, — как на ключевую практическую уязвимость в системе самостоятельного хранения.

Скомпрометированный компьютер под управлением Windows может подменить адрес, скопированный пользователем, раскрыть мнемоническое слово до подписания перевода или отправить снимки экрана и данные кошелька злоумышленнику.

В отчёте Security Blog от 17 июня Microsoft сообщила, что вредоносное ПО CryptoBandits, обнаруженное как «CryptoBandits.A», активно с февраля 2026 года и проникает в системы через вредоносные файлы ярлыков Windows на USB-накопителях.

Вредоносное ПО также похищает секреты кошелька, осуществляет подмену адреса при копировании и взаимодействует с командно-контрольной инфраструктурой через Tor. Microsoft сообщила, что оно отслеживает буфер обмена примерно каждые 500 миллисекунд и ищет мнемонические слова, приватные ключи и адреса кошельков.

Аппаратные кошельки, проверка адресов и соблюдение дисциплины при работе с мнемоническими словами по-прежнему остаются необходимыми мерами защиты. Однако если конечное устройство, задействованное в рабочем процессе кошелька, скомпрометировано, злоумышленник может увидеть секрет, изменить адрес назначения или наблюдать за экраном прежде, чем пользователь заметит что-либо подозрительное.

CryptoSlate ранее освещал схожие паттерны кражи данных кошельков, включая подмену адреса в стиле ClipBanker и вредоносное ПО для кошельков, связанное с Microsoft. Новым элементом в отчёте Microsoft является сочетание распространения через USB, кражи из буфера обмена, управления через Tor и оперативных рекомендаций по обнаружению подобного поведения.

Как вредоносное ПО CryptoBandits превращает USB-ярлыки в инструмент выполнения кода

Microsoft сообщила, что первоначальный доступ осуществляется через вредоносные файлы .lnk, включая ярлыки, распространяемые на USB-накопителях. В проанализированных Microsoft случаях ярлык запускает компонент-червь.

Затем вредоносное ПО сканирует USB-накопитель в поисках распространённых файлов документов, таких как .doc, .xlsx и .pdf, скрывает оригиналы и создаёт новые файлы ярлыков с теми же именами.

Результатом становится знакомая ловушка: пользователь думает, что открывает документ со съёмного носителя, но на самом деле запускает полезную нагрузку червя. Такое поведение соответствует более широкому паттерну безопасности, который MITRE ATT&CK описывает как репликацию через съёмные носители, однако крипто-специфические последствия носят более непосредственный характер.

Устройство, используемое для подписания, копирования или проверки данных кошелька, становится частью поверхности атаки.

После запуска вредоносного ярлыка Microsoft сообщила, что вредоносное ПО помещает обфусцированные JavaScript-полезные нагрузки в директорию C:\Users\Public\Documents, использует запланированные задачи для обеспечения персистентности и держит одну задачу сосредоточенной на распространении на вновь подключённые USB-накопители. Другая задача выполняет активность похитителя данных.

Атака часто начинается с обычной работы с файлами. Общий USB-накопитель, скопированный файл или старая привычка работы со съёмными носителями могут перевести конечное устройство, работающее с кошельком, в небезопасное состояние ещё до открытия какого-либо программного обеспечения для кошелька.

Это превращает рутинное использование съёмных носителей в риск USB-вредоносного ПО для любого устройства, которое впоследствии задействуется в рабочих процессах кошелька.

Тем не менее методы предотвращения вполне практичны. Рискованный момент — это выполнение ярлыка и последующее обеспечение персистентности до начала каких-либо действий с кошельком.

Для человека или команды, перемещающих криптовалюту, устройство, открывающее съёмные носители, может оказаться тем же устройством, которое впоследствии копирует адрес депозита, отображает процесс восстановления или подготавливает перевод средств.

Для операций с кошельком политика в отношении съёмных носителей становится частью операций хранения. Пользователь или подразделение, относящееся к рабочей станции для подписания как к компьютеру общего назначения, наследует риски каждого рабочего процесса с документами, связанного с этой машиной.

Устройства, используемые для операций с кошельком, должны иметь меньше возможностей для выполнения недоверенных ярлыков, скриптов и полезных нагрузок.

Атака начинается как проблема ярлыков Windows, а затем превращается в проблему контроля над кошельком. После компрометации конечного устройства обычная последовательность действий пользователя — копирование адресов, проверка экранов и подготовка транзакций — даёт вредоносному ПО именно тот материал, для наблюдения за которым оно было создано.

Как вредоносное ПО CryptoBandits превращает буфер обмена в путь транзакции

Анализ Microsoft показывает, почему крипто-клиппер становится особенно опасным при самостоятельном хранении средств. После регистрации на командно-контрольном сервере вредоносное ПО входит в непрерывный цикл, проверяя буфер обмена примерно каждые полсекунды.

Оно ищет мнемонические слова BIP39 длиной 12 или 24 слова, ключи Bitcoin WIF, ключи Ethereum и адреса криптовалют.

Если оно обнаруживает мнемоническое слово или приватный ключ, Microsoft сообщила, что вредоносное ПО может сохранить его локально и передать через Tor. Если оно видит скопированный адрес криптовалюты, оно может заменить это значение адресом, контролируемым злоумышленником.

Для нескольких форматов адресов Microsoft сообщила, что вредоносное ПО пытается сделать замену достаточно похожей, чтобы она ускользнула от беглой проверки, — например, совпадая с первыми символами некоторых адресов Bitcoin, Tron или Monero, или изменяя только последний символ в некоторых адресах Bitcoin в формате Bech32.

Microsoft на протяжении многих лет рассматривает подмену адреса в буфере обмена как проблему кражи из кошелька. В отчёте 2022 года о cryware и горячих кошельках компания описала клиппинг и подмену как техники, перехватывающие данные кошелька до завершения транзакции.

Отчёт CryptoBandits.A демонстрирует этот паттерн в связке с распространением через съёмные носители и командным трафиком через Tor.

Официальное руководство по поддержке кошельков заостряет внимание на аспекте хранения. Документация MetaMask рассматривает мнемонические слова и приватные ключи как секреты управления кошельком и отдельно рекомендует пользователям проверять адреса получателей перед подтверждением отправки.

CryptoBandits.A нацелен на обе стороны этого рабочего процесса: секрет, управляющий кошельком, и адрес, на который поступают средства.

Аппаратные кошельки оставляют риск конечного устройства в рабочем процессе

Это конкретное предупреждение об устройстве в окружении кошелька. Изолированное хранение приватных ключей по-прежнему остаётся одной из наиболее надёжных защит от многих распространённых атак на кошельки.

Слабое предположение состоит в том, что аппаратная защита охватывает каждый шаг транзакции. Аппаратные кошельки могут защитить ключи подписания, но они не способны сделать буфер обмена скомпрометированного компьютера надёжным. Если пользователь копирует адрес депозита на бирже, платёжный адрес или адрес для перевода средств казначейства на заражённой машине, вредоносное ПО может изменить значение до того, как пользователь его вставит.

Если пользователь проверяет лишь несколько знакомых символов, подменный адрес, разработанный так, чтобы выглядеть похожим, может пройти беглую проверку.

Мнемонические слова создают более серьёзный сценарий сбоя. Фраза для восстановления, введённая или скопированная через скомпрометированный компьютер с Windows, становится риском удалённой компрометации.

Microsoft сообщила, что вредоносное ПО может распознавать фразы в формате BIP39 и передавать их на командно-контрольный сервер. После раскрытия такого секрета риск выходит за рамки единственной попытки перевода.

Для частных лиц гигиена кошелька отчасти является гигиеной устройства. Для средств, управляемых командами, процедуры хранения должны рассматривать поведение конечного устройства как часть процесса утверждения транзакций.

Машина, используемая для проверки балансов, подготовки переводов, бриджинга активов или перемещения средств с биржи, должна иметь иной профиль риска, чем рабочая станция, которая также открывает неизвестные съёмные носители.

Полезным стандартом является разделение. Устройство, задействованное в операциях с кошельком, должно иметь меньше поводов для запуска скриптов, открытия ярлыков с USB-накопителей или копирования материалов для восстановления через буфер обмена.

Когда рабочий процесс зависит от копирования и вставки, адрес назначения, отображаемый на устройстве для подписания или доверенном экране, имеет больший вес, чем адрес, показанный в браузере или окне чата.

Если рабочая станция подозревается в компрометации, характер ответных действий также меняется. Утечка может включать не только неверный адрес в одной ожидающей транзакции.

Она может охватывать материалы для восстановления, приватные ключи, снимки экрана и выполнение команд на той же машине. Это смещает акцент при устранении последствий в сторону изоляции конечного устройства, ротации скомпрометированных материалов кошелька и проверки любого перевода, подготовленного на этом устройстве.

Обнаружение зависит от поведенческих сигналов

Рекомендации Microsoft по смягчению угроз сосредоточены на поведении. Компания рекомендует отключить AutoRun и AutoPlay для съёмных носителей, заблокировать выполнение .lnk со съёмных накопителей с помощью групповой политики там, где это возможно, ограничить излишнее использование хостов скриптов, таких как wscript.exe и cscript.exe, а также проверить правила сокращения поверхности атаки для обфусцированных скриптов и подозрительных цепочек дочерних процессов.

Для команд безопасности наиболее весомыми являются поведенческие сигналы. Microsoft сообщила, что защитники должны расследовать случаи, когда движки скриптов запускают такие инструменты, как curl, cmd.exe, PowerShell или неожиданные исполняемые файлы.

Также была отмечена активность локального прокси SOCKS5 на localhost:9050, поведение, связанное с буфером обмена, и активность PowerShell по захвату экрана на устройствах, задействованных в чувствительных финансовых рабочих процессах.

Эти сигналы соответствуют нескольким стандартным техникам ATT&CK, включая сбор данных из буфера обмена, командование и управление через прокси, а также персистентность через запланированные задачи.

Microsoft Defender также перечисляет возможности обнаружения CryptoBandits, включая Trojan:Win32/CryptoBandits.A и связанные обнаружения JavaScript, а также покрытие EDR для подозрительных JavaScript-процессов, эксфильтрации на основе curl и активности Планировщика задач.

Отчёт Microsoft не раскрывает количество жертв, подтверждённые суммы хищений, географическое распределение и атрибуцию конкретным субъектам угроз. Это ограничивает любые утверждения о масштабах финансового ущерба.

Урок для хранения основывается на наблюдаемом поведении: рабочий процесс кошелька может быть скомпрометирован до того, как транзакция достигнет блокчейна.

Главный практический вывод состоит в том, что крипто-пользователи и операторы должны рассматривать конечные устройства как часть стека кошелька. Контроль USB, ограничения скриптов, верификация адреса и дисциплина буфера обмена являются частью безопасности самостоятельного хранения.

Это путь, который транзакция проходит до того, как достигает блокчейна.

Публикация «Вредоносное ПО CryptoBandits позволяет злоумышленникам использовать ваш USB-накопитель для доступа к криптовалютным кошелькам — предупреждает Microsoft» впервые появилась на CryptoSlate.