Microsoft выявляет новое крипто-вредоносное ПО, нацеленное на адреса кошельков и приватные ключи

TheNewsCryptoОпубликовано 2026-06-19Обновлено 2026-06-19

Введение

В феврале 2026 года Microsoft Threat Intelligence обнаружила новую вредоносную кампанию, нацеленную на пользователей криптовалют. Вредоносная программа, классифицируемая как Trojan/CryptoBandits.A, распространяется через зараженные USB-накопители с помощью файлов .lnk. Особенность этой атаки заключается в использовании технологии Windows Script Host и ActiveX для запуска упакованного Tor-прокси без необходимости в установщике или обычных управляющих серверах. После заражения система подключается к серверам в сети Tor через локальный SOCKS5-прокси. Основная функция вредоноса — слежка за буфером обмена. Он ищет и крадет сид-фразы (12 и 24 слова), приватные ключи Bitcoin и Ethereum, а также адреса кошельков. Обнаружив скопированный адрес, программа подменяет его на адрес, контролируемый злоумышленниками, что позволяет перехватывать переводы. Кроме того, программа делает скриншоты экрана и отправляет их через Tor, что дает атакующим информацию о балансах и активности пользователей. Угроза также обладает возможностью удаленного выполнения кода и обеспечивает свое постоянство в системе через планировщик заданий. В качестве мер защиты Microsoft рекомендует отключать автозапуск для USB, ограничивать использование сценариев и исполняемых ярлыков с внешних накопителей, а также отслеживать подозрительную активность, такую как выполнение JavaScript, работу прокси на localhost:9050 и мониторинг буфера обмена.

В феврале 2026 года аналитики Microsoft Threat Intelligence и Microsoft Defender Experts обнаружили атаку с помощью крипто-клиппера. Это была кампания, созданная для операционной системы Windows. Вредоносное ПО эксплуатирует держателей криптовалют посредством перехвата буфера обмена и поиска конфиденциальной информации о кошельках. Microsoft сообщила об этом в своем блоге.

Злоумышленники распространяют это вредоносное ПО в основном через вредоносные файлы ярлыков .lnk, распространяемые на USB-накопителях. Активация этого вредоносного кода приводит к запуску двух модулей. Один модуль распространяет вредоносное ПО по системам, а другой действует как клиппер и похититель информации. Microsoft Defender Antivirus идентифицирует угрозу как Trojan/CryptoBandits.A.

В отличие от большинства операций с вредоносным ПО, эта не требует использования установщика или каких-либо управляющих серверов, поскольку использует технологию Windows Script Host и ActiveX для запуска упакованного прокси-сервера Tor. Затем оно использует прокси-сервер SOCKS5 на зараженном компьютере и подключается к управляющим серверам, работающим через скрытые сервисы Tor.

Вредоносное ПО похищает информацию о кошельках и подменяет адреса

После заражения системы вредоносное ПО постоянно отслеживает содержимое буфера обмена и ищет сид-фразы, приватные ключи и адреса кошельков. Согласно данным Microsoft, вредоносное ПО нацелено именно на 12-словные и 24-словные сид-фразы, приватные ключи Bitcoin и приватные ключи Ethereum. Оно заменяет скопированные адреса кошельков на адреса, контролируемые злоумышленниками, прежде чем пользователи завершат свои транзакции.

Вредоносное ПО делает скриншоты и отправляет их через соединения Tor, что позволяет атакующим получать дополнительную информацию о балансах кошельков и активности пользователей. Кроме того, Microsoft заявила, что вредоносное ПО обладает возможностью удаленного выполнения кода, что дает злоумышленникам возможность отправлять дополнительные инструкции, обеспечивая при этом устойчивость за счет использования запланированных задач и шифрования вредоносных частей программы.

Исследователи выявили несколько индикаторов компрометации, включая подозрительное выполнение JavaScript, активность прокси localhost:9050, захват скриншотов с помощью PowerShell и поведение, связанное с мониторингом буфера обмена. Microsoft рекомендовала организациям отключить функции автозапуска, ограничить запуск скриптовых интерпретаторов и исполняемых файлов с USB-накопителей, а также отслеживать любую подозрительную активность, связанную с этим. Эта кампания вредоносного ПО подчеркивает продолжающийся рост использования криптовалют среди инвесторов и пользователей.

Главные новости о криптовалютах:

В Фонде Ethereum произошел очередной уход: Сяо-Вей Ван покидает пост

ТегиБлокчейнКриптоКриптовалютаВредоносное ПОMicrosoftКошелек

Связанные с этим вопросы

QКакие основные методы использует вредоносное ПО, описанное в статье, для кражи криптовалютных средств?

AВредоносное ПО использует перехват буфера обмена (clipboard hijacking) для подмены скопированных адресов криптокошельков на адреса злоумышленников, а также крадет сид-фразы, приватные ключи и делает скриншоты для сбора дополнительной информации о балансах и действиях пользователей.

QКак, согласно Microsoft, распространяется данное вредоносное ПО (троян CryptoBandits.A)?

AЗлоумышленники в основном распространяют это вредоносное ПО через вредоносные файлы ярлыков (.lnk), распространяемые на USB-накопителях.

QКакие конкретные типы чувствительной информации ищет это вредоносное ПО в системе жертвы?

AВредоносное ПО ищет 12-словные и 24-словные сид-фразы для восстановления, приватные ключи Bitcoin и Ethereum, а также адреса криптокошельков.

QКак данное вредоносное ПО обеспечивает свою скрытность и связь с командным сервером?

AОно не требует установщика или обычных серверов управления. Используя Windows Script Host и технологию ActiveX, оно запускает упакованный Tor-прокси, создает на зараженном компьютере SOCKS5-прокси и подключается к серверам управления, работающим как скрытые сервисы Tor.

QКакие рекомендации по защите от этой угрозы дает Microsoft?

AMicrosoft рекомендует организациям отключать функции автозапуска, ограничивать выполнение скриптов и исполняемых файлов с USB-накопителей, а также отслеживать подозрительную активность, такую как выполнение подозрительного JavaScript, активность прокси на localhost:9050, захват скриншотов через PowerShell и мониторинг буфера обмена.

Похожее

Pantera Capital: Когда перпетуальные контракты становятся центром финансов, Hyperliquid стремится вместить всё

Pantera Capital в своей статье анализирует растущую роль перпетуальных контрактов (перпетуальных фьючерсов) как доминирующего инструмента в глобальных финансовых рынках. Изначально крипто-нативный продукт, они становятся фундаментальным сдвигом в рыночной структуре, привлекая внимание традиционных инвесторов. Авторы подчеркивают преимущества перпетуалов перед традиционными фьючерсами: отсутствие даты экспирации упрощает управление позициями, снижает операционную сложность и позволяет вести торговлю 24/7, что соответствует потребностям современной глобальной экономики. Идея не нова, но именно цифровые активы, свободные от устаревшей инфраструктуры, создали среду для их массового внедрения, начиная с BitMEX. Особое внимание уделено платформе Hyperliquid — крупнейшей децентрализованной бирже (DEX) для торговли перпетуальными контрактами, на которую приходится около 40% всего объема в этом сегменте. Созданная на собственном блокчейне L1, она предлагает скорость и опыт, сравнимый с централизованными площадками (CEX). Ее рост ускорился благодаря экспансии на традиционные активы (акции, товары, индексы) через механизм бесплатного листинга (HIP-3). Это позволяет Hyperliquid функционировать как параллельная, работающая круглосуточно площадка для хеджирования и ценового открытия, особенно в периоды, когда традиционные рынки закрыты (выходные, события вроде конфликта в Иране или IPO частных компаний). Статья отмечает растущий интерес со стороны хедж-фондов и признание со стороны традиционных бирж, таких как ICE, которые видят в Hyperliquid серьезного конкурента. Инвестиционный тезис основан на огромном растущем рынке, сильном выполнении, превосходном пользовательском опыте и прямой аккумуляции стоимости для держателей токена HYPE через выкуп. Ключевым риском остается регуляторная неопределенность, особенно в США. Однако недавние шаги CFTC, разрешившие листинг перпетуальных контрактов на биткойн для регулируемых площадок, указывают на возможное смягчение подходов. Вопрос теперь не в важности перпетуальных контрактов, а в том, сможет ли инфраструктура, созданная в блокчейн-индустрии, стать основным местом для торговли и ценового открытия для всего спектра финансовых активов.

链捕手4 мин. назад

Pantera Capital: Когда перпетуальные контракты становятся центром финансов, Hyperliquid стремится вместить всё

链捕手4 мин. назад

Zapper прекращает работу спустя 7 лет несмотря на пиковый объем в $13 млрд – Детали

Децентрализованный финансовый менеджер активов (DeFi) Zapper объявил о закрытии после почти семи лет работы. Несмотря на привлечение более 2 миллионов активных пользователей в месяц и пиковый объем транзакций в $13 миллиардов, платформа не смогла создать устойчивую бизнес-модель. Причиной стали ужесточившаяся конкуренция, снижение доходности и рост затрат на инфраструктуру, что привело к сжатию прибыли. Соучредитель и генеральный директор Себ Оде признал, что Zapper не удалось полностью реализовать свою миссию по повышению доступности DeFi. Закрытие, запланированное на 3 августа, знаменует переходный этап для сектора, где для долгосрочного выживания становится критически важной не только пользовательская база, но и стабильный доход, а также четкие конкурентные преимущества. Этот случай также демонстрирует ограничения венчурного финансирования для обеспечения устойчивости проектов DeFi.

ambcrypto51 мин. назад

Zapper прекращает работу спустя 7 лет несмотря на пиковый объем в $13 млрд – Детали

ambcrypto51 мин. назад

Sony Bank продвигает планы по выпуску стейблкоина в долларах США с условным одобрением трастового разрешения от OCC

Банк Sony получил условное одобрение от Управления контролера денежного обращения США (OCC) на создание Connectia Trust, национального трастового банка, ориентированного на цифровые активы. Это шаг к запуску стейблкоина, привязанного к доллару США, через запланированную американскую дочернюю компанию. Connectia Trust, который начнет работу в 2027 году после получения окончательного одобрения регулятора, станет полностью принадлежащей Sony структурой с уставным капиталом в 40 миллионов долларов. Планируется, что стейблкоин будет поддерживать паритет один к одному с долларом и будет использоваться внутри экосистемы Sony для платежей за видеоигры, аниме, подписки и другие цифровые развлечения. Основными пользователями после коммерческого запуска станут клиенты в США. Условное одобрение OCC позволяет Sony продолжать подготовку, но не разрешает немедленную деятельность. Компания должна выполнить все оставшиеся регуляторные требования. Sony присоединяется к таким компаниям, как Ripple и Circle, в получении статуса федерального трастового банка, что позволяет под федеральным надзором заниматься хранением цифровых активов и выпуском стейблкоинов, но не принимать традиционные депозиты. Данная практика OCC вызывает политические дискуссии, но интерес компаний к таким лицензиям продолжает расти.

TheNewsCrypto2 ч. назад

Sony Bank продвигает планы по выпуску стейблкоина в долларах США с условным одобрением трастового разрешения от OCC

TheNewsCrypto2 ч. назад

Arbitrum вырос на 10% — Могут ли разблокировки токенов на $7.6 млн остановить ралли ARB?

После продолжительного нисходящего тренда токен Arbitrum (ARB) преодолел медвежий канал, достигнув двухнедельного максимума в $0,085, и вырос на 10%, а объем торгов подскочил на 118%. Рост был вызван анонсом о том, что 10% комиссий в сети Robinhood Chain и других L2-решениях Arbitrum будут направляться в экосистему Arbitrum (8% — в казну, контролируемую держателями токенов, 2% — на развитие). Это часть стратегии по борьбе с инфляцией от ежемесячных разблокировок токенов. В июле в обращение поступит 92,63 млн ARB на $7,6 млн. Хотя рекордные объемы и сборы в Robinhood Chain ($2,36 млн 8 июля) могут частично снизить давление, для полного нивелирования инфляции требуется генерировать около $8 млн в месяц. Индикатор RSI токена поднялся до 54, указывая на возвращение покупателей. Если позитивный нарратив сохранится, ARB может протестировать уровень сопротивления $0,09, в противном случае возможен откат к $0,072.

ambcrypto2 ч. назад

Arbitrum вырос на 10% — Могут ли разблокировки токенов на $7.6 млн остановить ралли ARB?

ambcrypto2 ч. назад

OpenAI нанимает эксперта по инвестиционному банкингу с зарплатой всего 1,3 млн юаней, в комментариях все считают, что это мало

OpenAI нанимает эксперта по инвестиционному банкингу для обучения ИИ. Основная задача — определение стандартов качества работы ИИ в таких областях, как анализ финансового моделирования, оценка активов, due diligence и подготовка материалов для клиентов. Должность предполагает разработку тестовых заданий, создание эталонных результатов и критериев оценки. Кандидатам требуется от двух лет опыта в инвестиционном банке, включая реальные сделки, владение Excel и PowerPoint, а также умение различать «приемлемый» и «профессионально пригодный» результат работы. Должность является индивидуальным вкладом без управленческих функций. Заработная плата составляет $185–205 тыс. (примерно 125–130 млн рублей) в год плюс опционы на акции, с гибридным графиком работы. Многие считают эту сумму недостаточной для специалиста такого уровня. Роль открыта в команде Applied AI в Сан-Франциско, которая фокусируется на применении ИИ в профессиональных сферах, требующих высокой точности и аналитики.

marsbit2 ч. назад

OpenAI нанимает эксперта по инвестиционному банкингу с зарплатой всего 1,3 млн юаней, в комментариях все считают, что это мало

marsbit2 ч. назад

Торговля

Спот
活动图片