Последнее исследование вредоносного ПО для криптовалют от Microsoft указывает на криптокошельки — одно из нескольких мест, где транзакция может завершиться неудачей, — как на ключевую практическую уязвимость при самостоятельном хранении средств (self-custody).
Зараженный компьютер под управлением Windows может изменить адрес, который копирует пользователь, раскрыть сид-фразу до подписания перевода или отправить злоумышленнику снимки экрана и контекст кошелька.
В отчете блога безопасности от 17 июня Microsoft сообщила, что вредоносное ПО CryptoBandits, обнаруженное как «CryptoBandits.A», активно с февраля 2026 года и проникало в системы через вредоносные файлы ярлыков Windows на USB-накопителях.
Вредоносное ПО также крадет секреты кошелька, подменяет скопированные адреса и обменивается данными с инфраструктурой командно-контрольного центра через Tor. Microsoft заявила, что отслеживает буфер обмена примерно каждые 500 миллисекунд и ищет сид-фразы, приватные ключи и адреса кошельков.
Аппаратные кошельки, проверка адресов и дисциплина в отношении сид-фраз остаются необходимыми мерами контроля. Но если скомпрометирована конечная точка, обрабатывающая рабочий процесс кошелька, злоумышленник может увидеть секрет, изменить получателя или просмотреть экран до того, как пользователь заметит что-либо неладное.
CryptoSlate ранее освещал смежные схемы кражи кошельков, включая замену адресов в стиле ClipBanker и вредоносное ПО для кошельков, связанное с Microsoft. Новым элементом в отчете Microsoft является сочетание распространения через USB, кражи данных из буфера обмена, управления через Tor и оперативных рекомендаций по обнаружению такого поведения.
Как вредоносное ПО CryptoBandits превращает ярлыки USB в исполняемый код
Microsoft сообщила, что первоначальный доступ осуществляется через вредоносные файлы .lnk, включая ярлыки, распространяемые на USB-накопителях. В проанализированных Microsoft случаях ярлык запускает компонент червя.
Затем вредоносное ПО сканирует USB-накопитель на наличие общих файловых документов, таких как .doc, .xlsx и .pdf, скрывает оригиналы и создает новые файлы ярлыков с теми же именами файлов.
Результат — знакомая ловушка: пользователь думает, что открывает документ со съемного носителя, но на самом деле запускает полезную нагрузку червя. Такое поведение соответствует более широкой схеме безопасности, описываемой MITRE ATT&CK как репликация через съемные носители, но криптоспецифическое последствие более прямолинейно.
Машина, используемая для подписания, копирования или проверки данных кошелька, становится частью поверхности атаки.
Как только вредоносный ярлык запущен, Microsoft сообщила, что вредоносное ПО внедряет обфусцированные полезные нагрузки JavaScript в C:\Users\Public\Documents, использует запланированные задачи для сохранения постоянства и оставляет одну задачу сфокусированной на распространении на недавно подключенные USB-накопители. Другая задача запускает активность по краже данных.
Атака часто начинается с обычной работы с файлами. Общий USB-накопитель, скопированный файл или старая привычка использовать съемные носители могут привести к тому, что конечная точка, работающая с кошельком, окажется в небезопасном состоянии еще до открытия какого-либо программного обеспечения кошелька.
Это превращает рутинное использование съемных носителей в риск заражения USB для любого устройства, которое позже будет задействовано в рабочих процессах кошелька.
Однако методы предотвращения вполне практичны. Рискованный момент — это выполнение ярлыка и последующее сохранение постоянства, до начала каких-либо действий с кошельком.
Для человека или команды, перемещающей криптовалюту, устройство, открывающее съемные носители, может быть тем же, которое позже скопирует адрес для депозита, отобразит рабочий процесс восстановления или подготовит казначейский перевод.
Для операций с кошельками политика в отношении съемных носителей становится частью операций по хранению. Пользователь или отдел, рассматривающий рабочую станцию для подписания как универсальный компьютер, наследует риски всех рабочих процессов с документами, связанных с этой машиной.
Устройства, используемые для операций с кошельками, должны иметь меньше способов для выполнения недоверенных ярлыков, скриптов и полезных нагрузок.
Атака начинается как проблема с ярлыками Windows, а затем перерастает в проблему контроля над кошельком. Как только конечная точка скомпрометирована, обычная последовательность действий пользователя по копированию адресов, проверке экранов и подготовке транзакций предоставляет вредоносному ПО именно те данные, которые оно предназначено отслеживать.
Как вредоносное ПО CryptoBandits превращает буфер обмена в путь транзакции
Анализ Microsoft показывает, почему крипто-клиппер становится серьезной угрозой при самостоятельном хранении средств. После регистрации на сервере командно-контрольного центра вредоносное ПО входит в непрерывный цикл, проверяя буфер обмена примерно каждые полсекунды.
Оно ищет сид-фразы BIP39 из 12 или 24 слов, ключи WIF Биткоина, ключи Эфириума и адреса криптовалют.
Если оно находит сид-фразу или приватный ключ, Microsoft сообщила, что вредоносное ПО может сохранить их локально и эксфильтровать через Tor. Если оно обнаруживает скопированный адрес криптовалюты, оно может заменить это значение на адрес, контролируемый злоумышленником.
Для нескольких форматов адресов Microsoft сообщила, что вредоносное ПО пытается сделать замену достаточно похожей, чтобы избежать случайных проверок, например, сопоставляя первые символы некоторых адресов Биткоина, Tron или Monero, или изменяя только последний символ в некоторых адресах Биткоина в стиле Bech32.
Microsoft рассматривает замену адресов в буфере обмена как проблему кражи кошельков на протяжении многих лет. В отчете за 2022 год о cryware и горячих кошельках компания описала клиппинг и подмену как методы, перехватывающие данные кошелька до завершения транзакции.
Отчет CryptoBandits.A показывает, что эта схема связана с распространением через съемные носители и трафиком команд через Tor.
Официальные рекомендации по поддержке кошельков обостряют аспект хранения. Документация Meta*Mask рассматривает сид-фразы и приватные ключи как секреты управления кошельком и отдельно советует пользователям проверять адреса получателей перед подтверждением отправки.
CryptoBandits.A нацелен на обе стороны этого рабочего процесса: секрет, который контролирует кошелек, и адрес, который получает средства.
| Наблюдаемое поведение | Риск для хранения | Практический ответ |
|---|---|---|
| Вредоносные файлы ярлыков USB | Обычное действие открытия файла может запустить полезную нагрузку червя. | Отключить AutoRun или AutoPlay, где это возможно, и заблокировать выполнение .lnk со съемных дисков. |
| Опрос буфера обмена и замена адресов | Скопированный адрес получателя может быть подменен до отправки транзакции. | Проверять полный пункт назначения на доверенном дисплее и не полагаться только на память буфера обмена. |
| Извлечение сид-фразы и приватного ключа | Секреты управления кошельком могут покинуть конечную точку до какого-либо движения в блокчейне. | Хранить материалы для восстановления вдали от сетевых машин и рассматривать компрометацию как событие ротации кошелька. |
| Загрузка снимков экрана | Злоумышленники могут видеть контекст кошелька, балансы или рабочие процессы восстановления. | Избегать отображения конфиденциальных материалов кошелька на машинах общего назначения. |
| Трафик команд через Tor через localhost:9050 | Блокировка по пункту назначения становится сложнее, поскольку трафик маршрутизируется через локальный прокси. | Искать цепочки от скрипта к сети, активность curl и поведение локального SOCKS5-прокси. |
Аппаратные кошельки оставляют риск на конечной точке в рабочем процессе
Это конкретное предупреждение касается конечной точки, окружающей кошелек. Изоляция приватных ключей остается одной из самых сильных защит от многих распространенных атак на кошельки.
Слабое предположение состоит в том, что аппаратная защита покрывает каждый шаг транзакции. Аппаратные кошельки могут защищать ключи подписи, но они не могут сделать буфер обмена скомпрометированного компьютера доверенным. Если пользователь копирует адрес депозита биржи, платежный адрес или адрес казначейского перевода на зараженной машине, вредоносное ПО может изменить значение до того, как пользователь его вставит.
Если пользователь проверяет только несколько знакомых символов, адрес замены, разработанный так, чтобы выглядеть похоже, все равно может пройти поспешную проверку.
Сид-фразы создают более серьезный сценарий сбоя. Фраза восстановления, введенная или скопированная через скомпрометированную машину Windows, становится риском удаленного компрометации.
Microsoft сообщила, что вредоносное ПО может идентифицировать фразы в стиле BIP39 и эксфильтровать их на сервер командно-контрольного центра. Как только такой секрет раскрыт, риск выходит за рамки одной попытки перевода.
Для частных лиц гигиена кошелька отчасти является гигиеной устройств. Для средств, управляемых командами, процедуры хранения должны рассматривать поведение конечной точки как часть процесса утверждения транзакции.
Машина, используемая для проверки балансов, подготовки переводов, мостового перемещения активов или вывода средств с биржи, должна иметь иной профиль риска, чем рабочая станция, которая также открывает неизвестные съемные носители.
Полезным стандартом является разделение. У устройства, которое обрабатывает операции с кошельком, должно быть меньше причин для запуска скриптов, открытия ярлыков с USB-накопителей или копирования материалов для восстановления через буфер обмена.
Когда рабочий процесс зависит от копирования и вставки, пункт назначения, отображаемый на устройстве подписи или доверенном дисплее, имеет больший вес, чем адрес, отображаемый в браузере или окне чата.
Если есть подозрение на компрометацию рабочей станции, ответ также меняется. Компрометация может включать не только неверный адрес в одной ожидающей транзакции.
Она может включать материалы для восстановления, приватные ключи, снимки экрана и выполнение команд на той же машине. Это подталкивает к устранению последствий путем изоляции конечной точки, ротации скомпрометированных материалов кошелька и проверки любого перевода, подготовленного на этом устройстве.
Обнаружение зависит от поведенческих сигналов
Рекомендации Microsoft по смягчению последствий сосредоточены на поведении. Компания рекомендует отключать AutoRun и AutoPlay для съемных носителей, блокировать выполнение .lnk со съемных дисков через групповую политику, где это возможно, ограничивать ненужное использование хостов скриптов, таких как wscript.exe и cscript.exe, и просматривать правила снижения поверхности атаки для обфусцированных скриптов и подозрительных цепочек дочерних процессов.
Для групп безопасности самые сильные сигналы — поведенческие. Microsoft заявила, что защитники должны расследовать случаи, когда движки скриптов запускают такие инструменты, как curl, cmd.exe, PowerShell или неожиданные исполняемые файлы.
Компания также выделила локальную активность SOCKS5-прокси на localhost:9050, поведение, связанное с буфером обмена, и активность захвата экрана PowerShell на устройствах, обрабатывающих конфиденциальные финансовые рабочие процессы.
Эти сигналы совпадают с несколькими стандартными методами ATT&CK, включая сбор данных из буфера обмена, командно-контрольный центр на основе прокси и сохранение постоянства через запланированные задачи.
Microsoft Defender также перечисляет возможности обнаружения CryptoBandits, включая Trojan:Win32/CryptoBandits.A и связанные обнаружения JavaScript, а также покрытие EDR для подозрительных процессов JavaScript, эксфильтрации через curl и активности Планировщика заданий.
В отчете Microsoft не раскрываются данные о количестве жертв, подтвержденных суммах краж, географическом распределении и атрибуции именованным акторам. Это ограничивает любые заявления о масштабах финансового ущерба.
Урок по хранению остается в наблюдаемом поведении: рабочий процесс кошелька может быть скомпрометирован до того, как транзакция попадет в блокчейн.
Непосредственный вывод заключается в том, что пользователи и операторы криптовалют должны рассматривать конечные точки как часть стека кошелька. Контроль USB, ограничения на скрипты, проверка адресов и дисциплина буфера обмена являются частью безопасности самостоятельного хранения.
Это путь, который проходит транзакция до того, как она попадет в блокчейн.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Liam 'Akiba' Wright
