Microsoft опубликовала предупреждение о вредоносной программе Trojan:Win32/CryptoBandits, которая с февраля 2026 года активно заражает Windows-компьютеры и целенаправленно атакует криптовалютные кошельки. Способ распространения нетипичный: через заражённые USB-носители. Попав на компьютер, червь мониторит буфер обмена в поисках seed-фраз, приватных ключей и адресов получателей крипты, а также в реальном времени подменяет адреса кошельков на адреса атакующего — при каждой попытке перевода. Данные выводятся через сеть Tor.

Как работает Trojan:Win32/CryptoBandits:

  • Вектор заражения: заражённые USB-флешки — вредонос заменяет документы на флешке ярлыками (.lnk) с теми же именами
  • Установка: при открытии ярлыка (.lnk) запускается вредоносный код, устанавливающий червя
  • Что отслеживает: буфер обмена (clipboard) — seed-фразы, приватные ключи, адреса кошельков
  • Основная атака: подстановка адресов — при обнаружении адреса кошелька в буфере обмена вставляет адрес атакующего
  • Кража данных: эксфильтрация через сеть Tor (анонимная сеть)
  • Период активности: с февраля 2026 года
  • Распространение: заражает чистые флешки при подключении — создаёт ярлыки с именами реальных файлов

Атака на буфер обмена — наиболее опасный вектор для пользователей крипты. Большинство пользователей при переводе криптовалюты копируют адрес получателя из одного источника и вставляют в кошелёк. CryptoBandits перехватывает именно этот момент: в буфере обмена остаётся правильный адрес, но при вставке отображается уже адрес атакующего. Если пользователь не проверяет вставленный адрес побуквенно — перевод уходит злоумышленнику без возможности возврата. Как следует из публикации, Microsoft рекомендовала отключить функцию AutoRun для USB-устройств, заблокировать выполнение .lnk-файлов с USB, ограничить хосты скриптов и проверить сети на соответствие опубликованным индикаторам компрометации.

Метод распространения через USB — намеренный выбор атакующих. Антивирусные решения и файерволы часто менее строги к файлам с USB, чем к загрузкам из интернета. Пользователи привыкли доверять содержимому флешек, особенно если видят знакомые имена файлов. Замена настоящих файлов ярлыками-клонами позволяет вредоносу незаметно установиться даже на компьютерах с активной защитой. Для пользователей крипто-кошельков и бирж это означает один приоритет: всегда проверять адрес получателя после вставки — побуквенно хотя бы первые и последние 4–6 символов. Авторитетные кошельки (MetaMask, Ledger Live, Trezor Suite) сами отображают подтверждение адреса — использовать это подтверждение обязательно.

Вердикт редакции: Clipboard-атаки существуют уже несколько лет, но распространение через USB делает CryptoBandits особенно коварным: заражение может произойти полностью офлайн — на компьютере без интернета. Достаточно вставить чужую флешку или использовать флешку на заражённом ПК.

Практические меры:

  1. Отключите AutoRun в настройках Windows.
  2. Никогда не открывайте ярлыки (.lnk) с чужих USB-носителей.
  3. При переводе крипты — сверяйте адрес после вставки с оригиналом визуально.
  4. По возможности используйте аппаратные кошельки (Ledger, Trezor) — они показывают адрес на собственном экране, не зависящем от Windows-буфера, что остаётся одним из ключевых трендов безопасности в крипте 2026 года.

⚠️ Дисклеймер: Материал носит информационный характер. Делайте собственные выводы и проверяйте данные — DYOR.

© 2026 Cryptium.ru