Пятьсот миллисекунд. Именно с такой частотой этот вредонос проверяет буфер обмена, ожидая, когда вы вставите адрес кошелька, чтобы подменить его адресом злоумышленника. Microsoft опубликовала предупреждение 17 июня 2026 года, хотя малварь распространялась незаметно с февраля того же года. Атака бьёт по самому привычному действию с криптовалютой: скопировать и вставить адрес.
Технически вредонос называется crypto clipper, а антивирус Microsoft идентифицирует его как Trojan:Win32/CryptoBandits.A. Распространяется через заражённые USB-флеш-накопители на системах Windows. По данным Binance, компания уже уведомила своих пользователей об этой угрозе. Программа не является простым похитителем данных: она сочетает кражу, механизм саморазмножения и бэкдор для удалённого управления.
Как работает атака?
Цепочка заражения отточена и практически не требует осознанных действий от жертвы:
- 1. Заражённая флешка: Настоящие файлы скрываются, а на их месте появляются ярлыки, замаскированные под обычные документы.
- 2. Запуск: При открытии фиктивного ярлыка стартует скрипт, который устанавливает червя и прописывает задачи в планировщике, чтобы оставаться активным после перезагрузки.
- 3. Слежка: Малварь проверяет буфер обмена Windows каждые 500 миллисекунд и делает скриншоты с регулярными интервалами.
- 4. Кража и подмена: Программа ищет сид-фразы и приватные ключи, а при копировании адреса кошелька немедленно заменяет его адресом атакующего.
- 5. Эксфильтрация: Украденные данные отправляются через сеть Tor, скрывающую инфраструктуру злоумышленников.
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
, Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
Почему этот клиппер опаснее обычного
Три особенности резко поднимают уровень угрозы, хотя первая: сеть Tor. Маршрутизируя трафик через локальный прокси и скрытые адреса, малварь делает личность атакующего практически неустановимой. Вторая: бэкдор. Помимо кражи, он позволяет загружать и выполнять дополнительный код в любой момент, открывая путь для ransomware и новых кампаний. Третья особенность самая коварная.
При подмене скопированного адреса малварь генерирует адрес, внешне схожий с оригиналом: первые и последние символы совпадают, так что беглая проверка ничего не выявит. Под угрозой оказываются Bitcoin во всех форматах, а также Ethereum, Tron и Monero. Именно такие схемы мошенничества подробно разбираются в разделе мошенничество на SpazioCrypto.
Как защититься
Иными словами, хорошая новость: меры защиты просты и доступны каждому пользователю.
- Отключите автозапуск: Деактивируйте функции AutoRun и AutoPlay для съёмных носителей, чтобы флешки не запускали скрипты автоматически.
- Не доверяйте чужим флешкам: Любой съёмный носитель неизвестного происхождения следует считать потенциально заражённым.
- Проверяйте адрес целиком: Перед отправкой убедитесь, что адрес кошелька совпадает полностью, а не только первые и последние символы.
- Используйте аппаратный кошелёк: Подтверждайте адрес на экране физического устройства, куда малварь не имеет доступа.
Уязвимое место в этой схеме одно: буфер обмена. Именно там разворачивается кража, в полсекунды между нажатиями «копировать» и «вставить». Привычка, которая почти полностью нейтрализует угрозу, проста: всегда проверяйте адрес целиком и подтверждайте его на физическом устройстве. Официальные обновления публикует Microsoft, а в России рекомендуется следить за бюллетенями Национального координационного центра по компьютерным инцидентам (НКЦКИ). Актуальные случаи атак и взломов отслеживаются в разделе hack на SpazioCrypto.
