Microsoft Threat Intelligence описала вредоносную Windows-кампанию Crypto Clipper, нацеленную на пользователей криптовалют. По данным компании, малварь крадёт seed-фразы, приватные ключи Ethereum и Bitcoin WIF, подменяет адреса при переводах, делает скриншоты и может сохранять удалённый доступ к заражённому устройству через сеть Tor.
В Microsoft говорят, что кампания затрагивает пользователей как минимум с февраля 2026 года. Microsoft Defender Antivirus определяет этот клиппер как Trojan:Win32/CryptoBandits.A и связанные варианты. Это не просто очередное криптовалютное вредоносное ПО, которое тихо сидит в системе и ждёт удобного момента. Crypto Clipper следит за буфером обмена, делает скриншоты и может получать команды от атакующих.
Самый неприятный сценарий выглядит просто: пользователь копирует адрес кошелька, чтобы отправить Bitcoin, Tron или Monero, а малварь незаметно заменяет его на похожий адрес злоумышленника. В итоге человек может сам подтвердить перевод, не заметив подмены. Для тех, кто часто работает с криптокошельками, это как раз тот случай, когда привычка проверять только первые и последние символы адреса уже не выглядит достаточной.
Crypto Clipper также ищет в буфере обмена 12-словные и 24-словные seed-фразы. Seed-фраза — это набор слов для восстановления доступа к кошельку. Если она попадает к чужому человеку, он может получить контроль над активами. Дополнительно малварь охотится за приватными ключами Ethereum и учётными данными Bitcoin-кошельков.
Распространяется угроза через USB-накопители с вредоносными ярлыками Windows в формате .lnk. Схема старая, но всё ещё рабочая: настоящие документы скрываются, а вместо них появляются ярлыки с теми же именами. Пользователь думает, что открывает обычный файл, а в фоне запускается вредоносный код и ставятся дополнительные компоненты.
После заражения Crypto Clipper разворачивает переносимый клиент Tor и связывается с командной инфраструктурой через скрытые сервисы. Это даёт атакующим не только быстрый способ украсть данные, но и возможность сохранять доступ к устройству. На фоне регулярных историй про атаки и эксплойты в криптосекторе такая малварь бьёт по самому бытовому месту — по компьютеру пользователя и его привычкам.
Microsoft не раскрывает масштаб кампании, число пострадавших, географию атак и сумму возможного ущерба. Также не названа группировка, которая может стоять за Crypto Clipper. Но сама механика атаки уже достаточна, чтобы относиться к USB-флешкам, скопированным адресам и seed-фразам с куда меньшим доверием.
Источник: Microsoft Threat Intelligence