Вредоносное программное обеспечение (ПО) нового поколения начало атаковать криптовалютные кошельки пользователей по всему миру. Об этом рассказали в Microsoft.
Согласно техотчету корпорации, аналитики нашли вирус, незаметно подменяющий адреса криптокошельков в буфере обмена операционной системы при копировании. Он активен с февраля 2026 года.
Софт позволяет хакерам как красть оборотные средства, так и удаленно исполнять сторонний код на зараженных компьютерах.
Обход систем защиты
Угроза распространяется через зараженные файлы ярлыков с расширением .lnk, которые злоумышленники распространяют на физических USB-накопителях.
«При нажатии на такой ярлык запускается скрытый процесс, разворачивающий в системе вредоносное ПО, состоящее из двух независимых модулей — «червя» для заражения новых флешек и непосредственно скрипта-клиппера. Защитные алгоритмы Microsoft Defender классифицируют троян как Win32/CryptoBandits.A», — согласно отчету.
Для уклонения от системного анализа и ручной проверки архитектура софта использует многоуровневое шифрование, разворачиваемое только в оперативной памяти в момент исполнения.
Кроме того, вирус оснащен функцией самоликвидации. По словам специалистов из Microsoft, он непрерывно проверяет запущенные процессы через системные запросы и прекращает работу, если пользователь открывает «Диспетчер задач» Windows.
Закрепление в системе происходит путем создания бессрочных задач в «Планировщике» Windows, которые автоматически добавляют папки вируса в список исключений антивируса.
По теме: TrustedVolumes потерял $6,7 млн в результате атаки. В 1inch исключили взлом инфраструктуры
Подмена адресов через Tor
Сетевая структура трояна отказывается от использования стандартных IP-адресов для связи с командным сервером. Вместо этого зловред распаковывает автономный портативный клиент Tor, переименованный в ugate.exe, и настраивает локальный прокси-сервер SOCKS5 на адресе localhost:9050.
Это позволяет туннелировать весь трафик на скрытые командные веб-адреса в зоне .onion, скрывая конечные точки от сетевых администраторов.
После завершения маскировки программа запускает бесконечный цикл сбора информации, проверяя содержимое буфера обмена каждые 500 миллисекунд.
В Microsoft подчеркнули, что вирус нацелен на извлечение мнемонических BIP39 сид-фраз из 12 или 24 слов, а также приватных ключей сетей биткоин и Ethereum.
«Для получения контекста о балансах жертвы вирус каждые десять секунд делает серию из пяти снимков экрана и асинхронно отправляет файлы на сервер хакеров», — рассказали эксперты.
Параллельно работает скрипт автоматической подмены целевых реквизитов. В зависимости от типа блокчейн-сети алгоритм подбирает кошелек атакующих по следующим правилам:
- классические биткоин-адреса (Legacy и P2SH, начинающиеся на 1 и 3) замещаются кошельками, совпадающими по первым двум символам;
- новые (Taproot и Bech32, начинающиеся на bc1p и bc1q) подменяются с контролем совпадения последнего знака;
- адреса сети Tron (ровно 34 знака, стартующие с буквы Т) меняются с сохранением первых двух символов;
- анонимные кошельки Monero (95 знаков, начинающиеся на 4 или 8) перезаписываются единым статичным адресом злоумышленников.
По теме: аналитики связали взлом Grinex с атакой на сервис TokenSpot
Что делать?
Представители Microsoft призывают службы корпоративной безопасности ориентироваться на поведенческие маркеры системной активности.
«Обратите внимание на инциденты, когда стандартные интерпретаторы скриптов WScript или CScript вызывают утилиту автоматической отправки данных curl, командную строку или оболочку PowerShell», — посоветовали в Microsoft.
Для снижения рисков компаниям рекомендуют заблокировать функцию автоматического запуска съемных носителей, запретить исполнение .lnk-файлов с флешек через механизмы групповых политик (GPO) и ограничить права на использование встроенных хостов сценариев Windows на рабочих станциях, связанных с обработкой криптовалютных транзакций.
По теме: квантовый взлом биткоина оказался ближе прогнозов — Google
Источник: cryptonews.net