От похищения кошелька до удаленного управления: Microsoft раскрывает новую волну криптомалваре, нацеленную на пользователей Windows | Metaverse Post

Кратко

Microsoft обнаружила кампанию по распространению криптовалютного клиппера на базе Windows с использованием инфраструктуры Tor для кражи данных кошельков, перехвата транзакций и поддержания удаленного доступа.

Технологическая компания Microsoft сообщила о выявлении кампании вредоносного ПО для Windows, связанного с криптовалютным клиппером, которая нацелена на пользователей с февраля 2026 года. Угрозу, обнаруженную специалистами Microsoft Threat Intelligence и Microsoft Defender Experts, объединяет кража буфера обмена, нацеливание на криптовалютные кошельки и возможности удаленного доступа для кражи цифровых активов и сохранения контроля над скомпрометированными системами.

Вредоносное ПО предназначено для перехвата конфиденциальной информации, связанной с криптовалютами, включая адреса кошельков, сид-фразы и приватные ключи. Microsoft заявила, что угроза распространяется в основном через вредоносные ярлыки (.lnk), распространяемые через съемные USB-устройства. После активации вредоносное ПО разворачивает дополнительные компоненты, обеспечивающие устойчивость, сбор данных и связь с инфраструктурой злоумышленников.

В отличие от традиционных кампаний вредоносного ПО, использующих видимые серверы команд и управления, эта кампания использует встроенный прокси Tor для сокрытия сетевой активности. Вредоносное ПО запускает портативный клиент Tor через Windows Script Host и скрипты на базе ActiveX, маршрутизируя коммуникации через локальный SOCKS5-прокси перед подключением к серверам скрытых сервисов. Такой подход снижает видимость и позволяет злоумышленникам сохранять анонимный доступ к зараженным устройствам.

Атака сочетает две основные функции: компонент распространения, который распространяется через зараженные файлы и съемные носители, и компонент клиппера-крадца, ориентированный на кражу криптовалют. Вредоносное ПО может создавать вредоносные ярлыки, которые выглядят как ссылки на легитимные документы, заставляя пользователей непреднамеренно запускать вредоносный код. Также оно создает запланированные задачи для поддержания устойчивости и продолжения работы после перезагрузки системы.

Новое поколение инфраструктуры для кражи криптовалют

Вредоносное ПО демонстрирует сдвиг в сторону легковесных, скриптовых угроз, сочетающих финансовую кражу с более широкими возможностями бэкдора. После заражения вредоносное ПО постоянно отслеживает активность буфера обмена, ищет данные, связанные с криптовалютами. Когда пользователи копируют адреса кошельков, вредоносное ПО может заменять их на адреса, контролируемые злоумышленниками, перенаправляя транзакции без немедленного обнаружения жертвой.

Угрозе также свойственно искать приватные ключи Bitcoin и Ethereum, а также сид-фразы BIP39, которые обычно используются для восстановления криптовалютных кошельков. Собранная информация передается злоумышленникам через каналы на базе Tor, а также собираются скриншоты для предоставления дополнительного контекста о деятельности кошелька и балансах аккаунтов.

Microsoft подчеркнула, что вредоносное ПО включает возможности удаленного выполнения команд, позволяя злоумышленникам отправлять инструкции и выполнять дополнительный код на зараженных системах. Это расширяет угрозу за пределы простого криптоклиппера до гибкого инструмента, способного поддерживать дальнейшую вредоносную деятельность.

Исследователи безопасности отметили, что кампания в значительной степени опирается на поведенческие индикаторы, а не на традиционное обнаружение по файлам. Подозрительная активность включает запуск скриптовых движков неожиданных процессов, манипуляции с криптовалютными адресами, захват экрана через PowerShell и необычные соединения с прокси Tor через локальный порт 9050.

Microsoft Defender Antivirus обнаруживает связанные компоненты семейства вредоносного ПО под обозначением Trojan:Win32/CryptoBandits.A, а Microsoft Defender for Endpoint обеспечивает дополнительные поведенческие обнаружения подозрительной скриптовой активности, попыток утечки данных и аномального выполнения процессов.

Microsoft рекомендовала организациям укреплять защиту от угроз, связанных с съемными носителями, ограничивать ненужное выполнение скриптов, следить за подозрительной активностью прокси и применять меры безопасности против обфусцированных скриптов. Компания также посоветовала пересмотреть поведение мониторинга буфера обмена и исследовать системы, где скриптовые инструменты взаимодействуют с сетевыми утилитами.

Обнаружение подчеркивает растущую сложность вредоносных программ, ориентированных на криптовалюты, при этом злоумышленники все чаще объединяют автоматизированные методы кражи кошельков, анонимные системы связи и механизмы устойчивого доступа. По мере того как цифровые активы все больше интегрируются в финансовую деятельность, ожидается, что команды безопасности уделят больше внимания защите данных кошельков и мониторингу поведения, связанного с крипто-угрозами.