Microsoft виявила небезпечний троян: він краде криптовалюту через звичайні USB-флешки

Звичайна USB-флешка може стати причиною втрати криптовалюти. Microsoft повідомила про виявлення нового трояна Crypto Clipper, який поширюється через змінні носії, підміняє адреси криптогаманців і використовує мережу Tor для приховування зв’язку зі зловмисниками.

Експерти називають цю загрозу особливо небезпечною, адже вона поєднує одразу кілька функцій: викрадення даних, віддалене виконання команд і здатність самостійно поширюватися між пристроями.

Як працює Crypto Clipper

Як повідомляє NNews із посиланням на Microsoft та Ars Technica, троян активується після підключення зараженого USB-накопичувача. Шкідливий код маскується під звичайні ярлики (.lnk), які зовні майже не відрізняються від справжніх файлів.

Після запуску Crypto Clipper перевіряє, чи вже заражений комп’ютер. Якщо ні, він завантажує необхідні компоненти через мережу Tor, використовуючи локальний SOCKS5-проксі замість звичайних серверів управління.

Читайте також: Великобританія заблокувала придбання Microsoft Activision Blizzard

Такий підхід значно ускладнює виявлення шкідливої активності.

Троян полює на криптогаманці

Основна мета вірусу — криптовалютні активи користувачів.

Шкідливе ПЗ відстежує буфер обміну Windows у пошуках:

адрес криптовалютних гаманців;
seed-фраз для відновлення доступу;
іншої інформації, пов’язаної з цифровими активами.

Коли користувач копіює адресу для переказу коштів, троян непомітно замінює її на адресу, що належить зловмисникам. Якщо не перевірити реквізити перед підтвердженням операції, гроші потраплять на чужий гаманець.

За даними Microsoft, після виявлення цінної інформації вірус також робить п’ять скріншотів протягом десяти секунд і надсилає їх разом із викраденими даними.

Чому використання Tor викликає занепокоєння

Фахівці зазначають, що Crypto Clipper виходить за межі типового “кліпера”.

Завдяки Tor він може отримувати команди від операторів у режимі реального часу, фактично виконуючи роль легкого бекдора. Це означає, що заражений комп’ютер може залишатися під контролем кіберзлочинців навіть після завершення крадіжки криптовалюти.

Читайте також: ШІ показав, як би виглядав мультсеріал "Володар Перснів" від Disney (Фото)

У Microsoft наголошують, що поєднання Tor-маршрутизації, створення скріншотів і віддаленого виконання команд забезпечує як швидку монетизацію атак, так і тривалий доступ до пристроїв жертв.

Як зрозуміти, що комп’ютер може бути заражений

Серед можливих ознак зараження компанія називає:

запуск незвичних процесів через Windows Script Host;
використання проксі localhost:9050;
виконання PowerShell-команд для створення скріншотів;
підозрілу активність буфера обміну;
заміну криптовалютних адрес після копіювання.

Microsoft Defender Antivirus визначає цю загрозу як Trojan:Win32/CryptoBandits.A.

Чому це важливо

Crypto Clipper демонструє нову тенденцію у розвитку фінансово мотивованого шкідливого ПЗ. Зловмисники дедалі частіше атакують не самі криптобіржі чи гаманці, а найслабшу ланку — звички користувачів.

Більшість людей не перевіряє повністю довгі адреси криптогаманців після вставлення з буфера обміну. Саме на цю неуважність і розрахований троян.

Читайте також: Microsoft Xbox One перестає отримувати нові ігри

Цікавий факт:

Microsoft відстежує кампанію Crypto Clipper щонайменше з лютого 2026 року. На відміну від багатьох сучасних загроз, вона здатна поширюватися навіть через фізичні носії, що робить потенційно вразливими пристрої, які рідко підключаються до інтернету.