Microsoft выявляет новое крипто-вредоносное ПО, нацеленное на адреса кошельков и приватные ключи

TheNewsCryptoОпубликовано 2026-06-19Обновлено 2026-06-19

Введение

В феврале 2026 года Microsoft Threat Intelligence обнаружила новую вредоносную кампанию, нацеленную на пользователей криптовалют. Вредоносная программа, классифицируемая как Trojan/CryptoBandits.A, распространяется через зараженные USB-накопители с помощью файлов .lnk. Особенность этой атаки заключается в использовании технологии Windows Script Host и ActiveX для запуска упакованного Tor-прокси без необходимости в установщике или обычных управляющих серверах. После заражения система подключается к серверам в сети Tor через локальный SOCKS5-прокси. Основная функция вредоноса — слежка за буфером обмена. Он ищет и крадет сид-фразы (12 и 24 слова), приватные ключи Bitcoin и Ethereum, а также адреса кошельков. Обнаружив скопированный адрес, программа подменяет его на адрес, контролируемый злоумышленниками, что позволяет перехватывать переводы. Кроме того, программа делает скриншоты экрана и отправляет их через Tor, что дает атакующим информацию о балансах и активности пользователей. Угроза также обладает возможностью удаленного выполнения кода и обеспечивает свое постоянство в системе через планировщик заданий. В качестве мер защиты Microsoft рекомендует отключать автозапуск для USB, ограничивать использование сценариев и исполняемых ярлыков с внешних накопителей, а также отслеживать подозрительную активность, такую как выполнение JavaScript, работу прокси на localhost:9050 и мониторинг буфера обмена.

В феврале 2026 года аналитики Microsoft Threat Intelligence и Microsoft Defender Experts обнаружили атаку с помощью крипто-клиппера. Это была кампания, созданная для операционной системы Windows. Вредоносное ПО эксплуатирует держателей криптовалют посредством перехвата буфера обмена и поиска конфиденциальной информации о кошельках. Microsoft сообщила об этом в своем блоге.

Злоумышленники распространяют это вредоносное ПО в основном через вредоносные файлы ярлыков .lnk, распространяемые на USB-накопителях. Активация этого вредоносного кода приводит к запуску двух модулей. Один модуль распространяет вредоносное ПО по системам, а другой действует как клиппер и похититель информации. Microsoft Defender Antivirus идентифицирует угрозу как Trojan/CryptoBandits.A.

В отличие от большинства операций с вредоносным ПО, эта не требует использования установщика или каких-либо управляющих серверов, поскольку использует технологию Windows Script Host и ActiveX для запуска упакованного прокси-сервера Tor. Затем оно использует прокси-сервер SOCKS5 на зараженном компьютере и подключается к управляющим серверам, работающим через скрытые сервисы Tor.

Вредоносное ПО похищает информацию о кошельках и подменяет адреса

После заражения системы вредоносное ПО постоянно отслеживает содержимое буфера обмена и ищет сид-фразы, приватные ключи и адреса кошельков. Согласно данным Microsoft, вредоносное ПО нацелено именно на 12-словные и 24-словные сид-фразы, приватные ключи Bitcoin и приватные ключи Ethereum. Оно заменяет скопированные адреса кошельков на адреса, контролируемые злоумышленниками, прежде чем пользователи завершат свои транзакции.

Вредоносное ПО делает скриншоты и отправляет их через соединения Tor, что позволяет атакующим получать дополнительную информацию о балансах кошельков и активности пользователей. Кроме того, Microsoft заявила, что вредоносное ПО обладает возможностью удаленного выполнения кода, что дает злоумышленникам возможность отправлять дополнительные инструкции, обеспечивая при этом устойчивость за счет использования запланированных задач и шифрования вредоносных частей программы.

Исследователи выявили несколько индикаторов компрометации, включая подозрительное выполнение JavaScript, активность прокси localhost:9050, захват скриншотов с помощью PowerShell и поведение, связанное с мониторингом буфера обмена. Microsoft рекомендовала организациям отключить функции автозапуска, ограничить запуск скриптовых интерпретаторов и исполняемых файлов с USB-накопителей, а также отслеживать любую подозрительную активность, связанную с этим. Эта кампания вредоносного ПО подчеркивает продолжающийся рост использования криптовалют среди инвесторов и пользователей.

Главные новости о криптовалютах:

В Фонде Ethereum произошел очередной уход: Сяо-Вей Ван покидает пост

ТегиБлокчейнКриптоКриптовалютаВредоносное ПОMicrosoftКошелек

Связанные с этим вопросы

QКакие основные методы использует вредоносное ПО, описанное в статье, для кражи криптовалютных средств?

AВредоносное ПО использует перехват буфера обмена (clipboard hijacking) для подмены скопированных адресов криптокошельков на адреса злоумышленников, а также крадет сид-фразы, приватные ключи и делает скриншоты для сбора дополнительной информации о балансах и действиях пользователей.

QКак, согласно Microsoft, распространяется данное вредоносное ПО (троян CryptoBandits.A)?

AЗлоумышленники в основном распространяют это вредоносное ПО через вредоносные файлы ярлыков (.lnk), распространяемые на USB-накопителях.

QКакие конкретные типы чувствительной информации ищет это вредоносное ПО в системе жертвы?

AВредоносное ПО ищет 12-словные и 24-словные сид-фразы для восстановления, приватные ключи Bitcoin и Ethereum, а также адреса криптокошельков.

QКак данное вредоносное ПО обеспечивает свою скрытность и связь с командным сервером?

AОно не требует установщика или обычных серверов управления. Используя Windows Script Host и технологию ActiveX, оно запускает упакованный Tor-прокси, создает на зараженном компьютере SOCKS5-прокси и подключается к серверам управления, работающим как скрытые сервисы Tor.

QКакие рекомендации по защите от этой угрозы дает Microsoft?

AMicrosoft рекомендует организациям отключать функции автозапуска, ограничивать выполнение скриптов и исполняемых файлов с USB-накопителей, а также отслеживать подозрительную активность, такую как выполнение подозрительного JavaScript, активность прокси на localhost:9050, захват скриншотов через PowerShell и мониторинг буфера обмена.

Похожее

Zapper прекращает работу спустя 7 лет несмотря на пиковый объем в $13 млрд – Детали

Децентрализованный финансовый менеджер активов (DeFi) Zapper объявил о закрытии после почти семи лет работы. Несмотря на привлечение более 2 миллионов активных пользователей в месяц и пиковый объем транзакций в $13 миллиардов, платформа не смогла создать устойчивую бизнес-модель. Причиной стали ужесточившаяся конкуренция, снижение доходности и рост затрат на инфраструктуру, что привело к сжатию прибыли. Соучредитель и генеральный директор Себ Оде признал, что Zapper не удалось полностью реализовать свою миссию по повышению доступности DeFi. Закрытие, запланированное на 3 августа, знаменует переходный этап для сектора, где для долгосрочного выживания становится критически важной не только пользовательская база, но и стабильный доход, а также четкие конкурентные преимущества. Этот случай также демонстрирует ограничения венчурного финансирования для обеспечения устойчивости проектов DeFi.

ambcrypto30 мин. назад

Zapper прекращает работу спустя 7 лет несмотря на пиковый объем в $13 млрд – Детали

ambcrypto30 мин. назад

Sony Bank продвигает планы по выпуску стейблкоина в долларах США с условным одобрением трастового разрешения от OCC

Банк Sony получил условное одобрение от Управления контролера денежного обращения США (OCC) на создание Connectia Trust, национального трастового банка, ориентированного на цифровые активы. Это шаг к запуску стейблкоина, привязанного к доллару США, через запланированную американскую дочернюю компанию. Connectia Trust, который начнет работу в 2027 году после получения окончательного одобрения регулятора, станет полностью принадлежащей Sony структурой с уставным капиталом в 40 миллионов долларов. Планируется, что стейблкоин будет поддерживать паритет один к одному с долларом и будет использоваться внутри экосистемы Sony для платежей за видеоигры, аниме, подписки и другие цифровые развлечения. Основными пользователями после коммерческого запуска станут клиенты в США. Условное одобрение OCC позволяет Sony продолжать подготовку, но не разрешает немедленную деятельность. Компания должна выполнить все оставшиеся регуляторные требования. Sony присоединяется к таким компаниям, как Ripple и Circle, в получении статуса федерального трастового банка, что позволяет под федеральным надзором заниматься хранением цифровых активов и выпуском стейблкоинов, но не принимать традиционные депозиты. Данная практика OCC вызывает политические дискуссии, но интерес компаний к таким лицензиям продолжает расти.

TheNewsCrypto1 ч. назад

Sony Bank продвигает планы по выпуску стейблкоина в долларах США с условным одобрением трастового разрешения от OCC

TheNewsCrypto1 ч. назад

Arbitrum вырос на 10% — Могут ли разблокировки токенов на $7.6 млн остановить ралли ARB?

После продолжительного нисходящего тренда токен Arbitrum (ARB) преодолел медвежий канал, достигнув двухнедельного максимума в $0,085, и вырос на 10%, а объем торгов подскочил на 118%. Рост был вызван анонсом о том, что 10% комиссий в сети Robinhood Chain и других L2-решениях Arbitrum будут направляться в экосистему Arbitrum (8% — в казну, контролируемую держателями токенов, 2% — на развитие). Это часть стратегии по борьбе с инфляцией от ежемесячных разблокировок токенов. В июле в обращение поступит 92,63 млн ARB на $7,6 млн. Хотя рекордные объемы и сборы в Robinhood Chain ($2,36 млн 8 июля) могут частично снизить давление, для полного нивелирования инфляции требуется генерировать около $8 млн в месяц. Индикатор RSI токена поднялся до 54, указывая на возвращение покупателей. Если позитивный нарратив сохранится, ARB может протестировать уровень сопротивления $0,09, в противном случае возможен откат к $0,072.

ambcrypto2 ч. назад

Arbitrum вырос на 10% — Могут ли разблокировки токенов на $7.6 млн остановить ралли ARB?

ambcrypto2 ч. назад

OpenAI нанимает эксперта по инвестиционному банкингу с зарплатой всего 1,3 млн юаней, в комментариях все считают, что это мало

OpenAI нанимает эксперта по инвестиционному банкингу для обучения ИИ. Основная задача — определение стандартов качества работы ИИ в таких областях, как анализ финансового моделирования, оценка активов, due diligence и подготовка материалов для клиентов. Должность предполагает разработку тестовых заданий, создание эталонных результатов и критериев оценки. Кандидатам требуется от двух лет опыта в инвестиционном банке, включая реальные сделки, владение Excel и PowerPoint, а также умение различать «приемлемый» и «профессионально пригодный» результат работы. Должность является индивидуальным вкладом без управленческих функций. Заработная плата составляет $185–205 тыс. (примерно 125–130 млн рублей) в год плюс опционы на акции, с гибридным графиком работы. Многие считают эту сумму недостаточной для специалиста такого уровня. Роль открыта в команде Applied AI в Сан-Франциско, которая фокусируется на применении ИИ в профессиональных сферах, требующих высокой точности и аналитики.

marsbit2 ч. назад

OpenAI нанимает эксперта по инвестиционному банкингу с зарплатой всего 1,3 млн юаней, в комментариях все считают, что это мало

marsbit2 ч. назад

ACL 2026: Превосходство китайских исследователей. Все авторы лучших статей - китайцы, в выдающихся статьях они почти монополия

В статье освещаются ключевые итоги конференции ACL 2026. Главное внимание уделяется беспрецедентному доминированию китайских исследователей: все три работы, удостоенные премии Best Paper Award, а также большинство из 18 работ, отмеченных как Outstanding Paper, были подготовлены учеными китайского происхождения. Конференция побила рекорды по масштабу: 12148 поданых работ, рост на 45%, что отражает общую тенденцию доминирования исследований, связанных с большими языковыми моделями (LLM). Доля авторов из материкового Китая составила 54%. Три лучшие работы затрагивают фундаментальные вопросы: первая («The Imperfective Paradox in Large Language Models») выявляет систематическую ошибку LLM в логическом выводе на основе лингвистических парадоксов; вторая («Memory efficiency and resource-rational encoding…») предлагает модель ограниченной рабочей памяти, делая ИИ более «человекоподобным»; третья («Characterizing the Expressivity of Local Attention…») формально доказывает преимущества гибридной (глобальной и локальной) архитектуры внимания в Transformers. Статья также подчеркивает, что, несмотря на тотальную ориентацию конференции на LLM, высшие награды получили исследования, критически и фундаментально исследующие их природу, а не просто применяющие их.

marsbit2 ч. назад

ACL 2026: Превосходство китайских исследователей. Все авторы лучших статей - китайцы, в выдающихся статьях они почти монополия

marsbit2 ч. назад

Торговля

Спот
活动图片