Вы копируете адрес кошелька, чтобы вывести средства, — а вирус незаметно подменяет его на свой в момент вставки, и деньги уходят безвозвратно. Звучит как страшилка, но это реальная угроза: в июне 2026 года Microsoft раскрыла вредонос, который распространяется через USB-флешки и охотится именно за криптовалютой. На мой взгляд, разобрать эту атаку важно каждому держателю крипты — не чтобы испугаться, а чтобы знать, как защититься. Разберём по-человечески, как работает заражение, почему обычная флешка остаётся недооценённой угрозой и какие меры защиты реально работают. Это материал об осведомлённости и безопасности, а не руководство для злоумышленников.

Что обнаружила Microsoft

17 июня 2026 года Microsoft Threat Intelligence опубликовала разбор вредоносной кампании под названием CryptoBandits (в системе Defender — Trojan:Win32/CryptoBandits.A). Оказалось, что зловред тихо работал с февраля 2026 года — почти четыре месяца без публичного предупреждения. Это так называемый «криптоклипер» (clipper) — класс вредоносов, которые перехватывают буфер обмена. Особенность этого экземпляра в том, что он сочетает сразу три неприятные черты: распространяется как червь через USB, ворует данные из буфера и прячет связь с серверами злоумышленников через анонимную сеть Tor.

Вирус через USB крадёт ключи кошельков(image)Схема атаки и меры защиты. Источник: Microsoft Security Blog, июнь 2026.

Как работает атака: четыре шага

Логика заражения простая и оттого коварная. Объясню на уровне понимания, без технических деталей, которые могли бы кому-то «помочь»:

  • 1️⃣ Заражённая флешка. На USB-накопителе настоящие документы (PDF, Word, Excel) скрыты, а вместо них лежат ярлыки с теми же именами — пользователь думает, что открывает свой файл
  • 2️⃣ Клик запускает червя. Открытие ярлыка заражает компьютер; вредонос ждёт, когда воткнут новую чистую флешку, чтобы скопировать себя дальше
  • 3️⃣ Слежка за буфером. Программа примерно каждые полсекунды проверяет буфер обмена и ищет криптоадреса, seed-фразы и приватные ключи
  • 4️⃣ Подмена адреса. Когда вы копируете адрес для перевода, вредонос молча заменяет его на адрес злоумышленника — и вы вставляете уже чужой

Самое опасное — в детали подмены. Вредонос выбирает адрес-подделку, похожий на ваш по первым и последним символам, чтобы при беглом взгляде вы не заметили разницы. Кошелёк ведь длинный, и большинство людей сверяют лишь начало и конец. Атака бьёт по адресам сразу нескольких криптовалют — Bitcoin (включая форматы bc1q и bc1p), Tron, Monero и другим. А seed-фраза или приватный ключ в буфере дают злоумышленнику полный контроль над кошельком.

Главная ловушка: транзакции в блокчейне необратимы. Если вы отправили средства на подменённый адрес и подтвердили перевод, вернуть их практически невозможно — нет «банка», который отменит платёж. Поэтому единственная рабочая стратегия здесь — не лечить последствия, а не допустить ошибки на этапе вставки адреса. Никогда не храните seed-фразу в цифровом виде, который можно скопировать. Это не запугивание, а напоминание о цене невнимательности.

Почему флешка — недооценённый вектор

Казалось бы, в эпоху облаков и мессенджеров кто вообще пользуется флешками? В этом и есть слабое место. Мы привыкли опасаться фишинговых писем и подозрительных ссылок, но USB-накопитель воспринимаем как нечто безобидное — «просто железка». А зря: флешка обходит почтовые фильтры и сетевую защиту, попадая прямо в систему через физический порт. Найденная на парковке, одолженная у коллеги или подаренная на конференции флешка — классический и до сих пор работающий способ заражения. Человеческое любопытство («что там на ней?») оказывается надёжнее любого взлома. Тем, кто думает про безопасность своих активов, важно вернуть флешку в список угроз.

Как защититься: практические меры

Хорошая новость в том, что защита от клипера не требует быть специалистом по безопасности. Достаточно нескольких привычек и правильных настроек:

Мера Что делает
Сверять адрес целиком Проверять не первые/последние знаки, а весь адрес перед отправкой
Аппаратный кошелёк Показывает реальный адрес на своём экране — подмена в ПК не пройдёт
Тестовый перевод Сначала малая сумма, потом основная — дешёвая страховка
Отключить автозапуск USB AutoRun/AutoPlay в Windows — чтобы флешка не сработала сама
Антивирус и обновления Defender уже детектит эту угрозу; держите систему свежей

Золотое правило: аппаратный кошелёк с обязательной сверкой адреса на его собственном экране — самая надёжная защита. Даже если компьютер заражён и буфер подменён, устройство покажет настоящий адрес получателя, и вы увидите расхождение до подтверждения. Но и тут есть нюанс честности: «железо» спасает, только если вы реально сверяете адрес на экране устройства, а не жмёте «подтвердить» вслепую. Техника защищает лишь вместе с привычкой проверять.

Важно понимать: антивирус и настройки Windows снижают риск заражения, но стопроцентной гарантии не даёт ни одна программа — новые штаммы появляются быстрее, чем сигнатуры. Поэтому базовая бдительность (не открывать чужие флешки, не хранить ключи в буфере, сверять адреса) остаётся вашим главным щитом. Не лишним будет почитать и про психологию безопасности — большинство атак строятся на спешке и невнимательности, а не на сложном взломе. Эти же принципы применимы при работе на биржах и при любых операциях с активами.

Авторское мнение

Меня в этой истории зацепила не технология, а психология. Клипер — это атака не на код, а на нашу лень. Мы копируем адрес, мельком смотрим на первые четыре символа, видим «bc1q», киваем и жмём «отправить». Вредонос именно на это и рассчитан: он подбирает похожее начало, потому что знает — дальше вы смотреть не будете. И вот что меня по-настоящему отрезвляет: даже аппаратный кошелёк, эта «серебряная пуля» безопасности, бесполезен, если ты не сверяешь адрес на его экране. Техника не спасёт того, кто торопится. Поэтому мой главный совет звучит почти банально: замедлитесь на десять секунд перед каждым переводом. Сверьте адрес целиком. Отправьте сначала копейки. Эти десять секунд — самая выгодная инвестиция в крипте. А зловреды пусть остаются голодными.

Анатолий Киш
Анатолий Киш
Криптоаналитик cryptium.ru

Вопрос — ответ

Спасёт ли аппаратный кошелёк от подмены адреса?+
Да, но только если вы сверяете адрес на экране самого устройства. Аппаратный кошелёк показывает реальный адрес получателя независимо от того, что подменено в буфере компьютера — поэтому при сверке вы заметите расхождение до подтверждения. Однако если просто нажать «подтвердить», не глядя на экран устройства, защита не сработает. То есть «железо» — самая надёжная мера, но работает в связке с привычкой проверять адрес целиком, а не первые и последние символы.
Как понять, что компьютер заражён клипером?+
Прямой признак заметить трудно — клипер работает тихо. Самый надёжный тест: скопируйте свой криптоадрес и вставьте его в текстовый редактор — если вставленный адрес отличается от исходного, система заражена. Косвенные сигналы — появление ярлыков вместо ваших файлов на флешке, необычная сетевая активность. При подозрении не проводите никаких переводов, запустите полную проверку актуальным антивирусом (Microsoft Defender эту угрозу детектирует) и при необходимости обратитесь к специалисту. Лучше перестраховаться.

Материал носит информационно-просветительский характер и направлен на защиту пользователей. Он не является технической инструкцией, инвестиционной или юридической рекомендацией. Названия угроз и продуктов приведены в справочных целях. Для актуальных рекомендаций по безопасности обращайтесь к официальным источникам (Microsoft, производитель вашего кошелька). Данные приведены по состоянию на июнь 2026 года.