Найновіше дослідження Microsoft щодо криптовалютного шкідливого програмного забезпечення вказує на криптовалютні гаманці, одне з кількох місць, де транзакція може зазнати збою, як на ключову практичну слабкість у самостійному зберіганні,Найновіше дослідження Microsoft щодо криптовалютного шкідливого програмного забезпечення вказує на криптовалютні гаманці, одне з кількох місць, де транзакція може зазнати збою, як на ключову практичну слабкість у самостійному зберіганні,

Шкідливе програмне забезпечення CryptoBandits дозволяє злочинцям використовувати USB-накопичувач для доступу до криптовалютних гаманців – попереджає Microsoft

2026/06/22 14:55
9 хв читання
Якщо у вас є відгуки або зауваження щодо цього контенту, будь ласка, зв’яжіться з нами за адресою crypto.news@mexc.com

Останнє дослідження Microsoft щодо криптовалютного шкідливого програмного забезпечення вказує на криптовалютні гаманці — одне з кількох місць, де транзакція може зазнати збою, — як на ключову практичну вразливість у системі самостійного зберігання.

Зламана машина Windows може змінити адресу, яку копіює користувач, розкрити seed фразу до підписання переказу або надіслати знімки екрана та контекст гаманця зловмиснику.

У звіті Security Blog від 17 червня Microsoft повідомила, що шкідливе програмне забезпечення CryptoBandits, виявлене як «CryptoBandits.A», було активним з лютого 2026 року та проникало в системи через шкідливі файли ярликів Windows на USB-накопичувачах.

Шкідливе програмне забезпечення також викрадає секрети гаманця, підміняє скопійовані адреси та взаємодіє з інфраструктурою командування та управління через Tor. Microsoft повідомила, що воно моніторить буфер обміну приблизно кожні 500 мілісекунд і шукає seed фрази, приватні ключі та адреси гаманців.

Апаратні гаманці, перевірка адрес і дисципліна щодо seed фраз залишаються необхідними засобами контролю. Але якщо кінцева точка, що обробляє робочий процес гаманця, зламана, зловмисник може побачити секрет, змінити місце призначення або спостерігати за екраном до того, як користувач помітить щось підозріле.

CryptoSlate раніше висвітлював суміжні схеми крадіжки гаманців, зокрема підміну адрес у стилі ClipBanker та шкідливе програмне забезпечення для гаманців, пов'язане з Microsoft. Новим елементом у звіті Microsoft є поєднання поширення через USB, крадіжки з буфера обміну, управління через Tor та оперативних рекомендацій щодо виявлення такої поведінки.

Пов'язане читання

Користувачі криптовалют під атакою шкідливого ПЗ SourceForge через підроблене програмне забезпечення Microsoft Office

Kaspersky повідомляє про понад 4 600 інцидентів, пов'язаних із шкідливим ПЗ, розміщеним на SourceForge, причому найбільше постраждали користувачі криптовалют у Росії.
9 квітня 2025 · Oluwapelumi Adejumo

Як шкідливе ПЗ CryptoBandits перетворює USB-ярлики на інструмент виконання

Microsoft повідомила, що початковий доступ здійснюється через шкідливі файли .lnk, зокрема ярлики, розповсюджувані на USB-накопичувачах. У проаналізованих Microsoft випадках ярлик розгортає компонент хробака.

Потім шкідливе ПЗ сканує USB-накопичувач у пошуку поширених файлів документів, таких як .doc, .xlsx та .pdf, приховує оригінали та створює нові файли ярликів із тими самими іменами.

Результатом є знайома пастка: користувач думає, що відкриває документ зі змінного носія, але насправді запускає корисне навантаження хробака. Така поведінка відповідає ширшій схемі безпеки, яку MITRE ATT&CK описує як реплікацію через змінні носії, але специфічний для криптовалют наслідок є більш прямим.

Машина, що використовується для підписання, копіювання або перевірки деталей гаманця, стає частиною поверхні атаки.

Після запуску шкідливого ярлика Microsoft повідомила, що шкідливе ПЗ розміщує обфусковані JavaScript-навантаження у папці C:\Users\Public\Documents, використовує заплановані завдання для забезпечення постійності та підтримує одне завдання, зосереджене на поширенні на нещодавно підключені USB-накопичувачі. Інше завдання виконує діяльність з викрадення даних.

Атака часто починається зі звичайної роботи з файлами. Спільний USB-накопичувач, скопійований файл або стара звичка роботи зі змінними носіями можуть перевести кінцеву точку, що обробляє гаманець, у небезпечний стан до того, як буде відкрито будь-яке програмне забезпечення гаманця.

Це перетворює звичайне використання змінних носіїв на ризик шкідливого ПЗ через USB для будь-якого пристрою, який пізніше бере участь у робочих процесах з гаманцем.

Однак методи запобігання є практичними. Ризикований момент — це виконання ярлика та наступне закріплення, ще до початку будь-яких дій із гаманцем.

Для особи або команди, що переміщує криптовалюту, пристрій, що відкриває змінні носії, може також бути тим, що пізніше копіює адресу депозиту, відображає процес відновлення або готує переказ із скарбниці.

Для операцій із гаманцем політика щодо змінних носіїв стає частиною операцій зберігання. Користувач або відділ, що ставляться до підписуючої робочої станції як до комп'ютера загального призначення, успадковують ризики кожного документального робочого процесу, пов'язаного з цією машиною.

Пристрої, що використовуються для роботи з гаманцем, потребують менше способів виконання ненадійних ярликів, скриптів і навантажень.

Атака починається як проблема ярлика Windows, а потім стає проблемою контролю над гаманцем. Після того як кінцева точка зламана, звична послідовність дій користувача — копіювання адрес, перевірка екранів і підготовка транзакцій — дає шкідливому ПЗ саме той матеріал, для спостереження за яким воно було створено.

Як шкідливе ПЗ CryptoBandits перетворює буфер обміну на шлях транзакції

Аналіз Microsoft пояснює, чому криптовалютний кліпер стає небезпечним, коли кошти зберігаються самостійно. Після реєстрації на сервері командування та управління шкідливе ПЗ входить у безперервний цикл перевірки буфера обміну приблизно кожні пів секунди.

Воно шукає seed фрази BIP39 з 12 або 24 слів, Bitcoin WIF ключі, ключі Ethereum та адреси криптовалют.

Якщо воно знаходить seed фразу або приватний ключ, Microsoft повідомила, що шкідливе ПЗ може зберегти їх локально та викрасти через Tor. Якщо воно бачить скопійовану адресу криптовалюти, воно може замінити це значення на адресу, контрольовану зловмисником.

Для кількох форматів адрес Microsoft повідомила, що шкідливе ПЗ намагається зробити заміну достатньо схожою, щоб уникнути поверхневої перевірки, наприклад збігаючи перші символи деяких адрес Bitcoin, Tron або Monero, або змінюючи лише останній символ у деяких адресах Bitcoin у стилі Bech32.

Microsoft вже кілька років розглядає підміну адрес у буфері обміну як проблему крадіжки гаманців. У звіті 2022 року про cryware та гарячі гаманці компанія описала клонування та підміну як техніки, що перехоплюють дані гаманця до завершення транзакції.

Звіт CryptoBandits.A демонструє цю схему, пов'язану з поширенням через змінні носії та командним трафіком через Tor.

Офіційні рекомендації щодо підтримки гаманців загострюють аспект зберігання. Документація MetaMask розглядає seed фрази та приватні ключі як секрети контролю над гаманцем і окремо вказує користувачам перевіряти адреси одержувачів перед підтвердженням відправлення.

CryptoBandits.A атакує обидві сторони цього робочого процесу: секрет, що контролює гаманець, та адресу, що отримує кошти.

Пов'язане читання

Microsoft виявляє новий троян, що атакує розширення криптовалютних гаманців у Chrome

Нове шкідливе ПЗ атакує 20 популярних розширень криптовалютних гаманців у Google Chrome, створюючи значні ризики кібербезпеки.
19 березня 2025 · Assad Jafri
Спостережувана поведінка Ризик зберігання Практична відповідь
Шкідливі файли ярликів USB Звичайна дія відкриття файлу може запустити корисне навантаження хробака. Вимкніть AutoRun або AutoPlay де можливо та заблокуйте виконання .lnk зі змінних накопичувачів.
Опитування буфера обміну та підміна адреси Скопійована адреса одержувача може бути підмінена до відправлення транзакції. Перевіряйте повне місце призначення на надійному дисплеї та не покладайтеся лише на пам'ять буфера обміну.
Витягування seed фрази та приватного ключа Секрети контролю над гаманцем можуть покинути кінцеву точку до будь-якого переміщення в мережі. Зберігайте матеріали відновлення поза мережевими машинами та розглядайте розкриття як подію ротації гаманця.
Завантаження знімків екрана Зловмисники можуть бачити контекст гаманця, баланси або процеси відновлення. Уникайте відображення конфіденційних матеріалів гаманця на машинах загального користування.
Командний трафік через Tor через localhost:9050 Блокування на основі призначення стає складнішим, оскільки трафік маршрутизується через локальний проксі. Шукайте ланцюжки скрипт-мережа, активність curl та поведінку локального проксі SOCKS5.

Апаратні гаманці залишають ризик кінцевої точки в робочому процесі

Це конкретне попередження про кінцеву точку щодо пристрою навколо гаманця. Збереження приватних ключів в ізоляції залишається одним із найсильніших засобів захисту від багатьох поширених атак на гаманці.

Хибне припущення полягає в тому, що апаратний захист охоплює кожен крок транзакції. Апаратні гаманці можуть захищати ключі підписання, але вони не можуть зробити буфер обміну зламаного комп'ютера надійним. Якщо користувач копіює адресу депозиту біржі, платіжну адресу або адресу переказу скарбниці на зараженій машині, шкідливе ПЗ може змінити значення до того, як користувач його вставить.

Якщо користувач перевіряє лише кілька знайомих символів, адреса заміни, розроблена для схожого вигляду, все одно може пройти поспішну перевірку.

Seed фрази створюють більш серйозний режим збою. Фраза відновлення, введена або скопійована через зламану машину Windows, стає ризиком віддаленого злому.

Microsoft повідомила, що шкідливе ПЗ може ідентифікувати фрази у стилі BIP39 та викрасти їх на сервер командування та управління. Після розкриття такого секрету ризик поширюється за межі одного спроби переказу.

Для фізичних осіб гігієна гаманця частково є гігієною пристрою. Для коштів, якими керують команди, процедури зберігання повинні розглядати поведінку кінцевої точки як частину процесу затвердження транзакцій.

Машина, що використовується для перевірки балансів, підготовки переказів, перемикання активів або переміщення коштів із біржі, повинна мати інший профіль ризику, ніж робоча станція, яка також відкриває невідомі змінні носії.

Корисним стандартом є розділення. Пристрій, що обробляє діяльність гаманця, повинен мати менше причин для запуску скриптів, відкриття ярликів з USB-накопичувачів або копіювання матеріалів відновлення через буфер обміну.

Коли робочий процес залежить від копіювання та вставки, місце призначення, показане на підписуючому пристрої або надійному дисплеї, має більшу вагу, ніж адреса, показана в браузері або вікні чату.

Якщо робоча станція підозрюється у розкритті, реакція також змінюється. Розкриття може включати більше, ніж просто неправильну адресу в одній очікуваній транзакції.

Воно може включати матеріали відновлення, приватні ключі, знімки екрана та виконання команд на тій самій машині. Це спрямовує усунення наслідків на ізоляцію кінцевої точки, ротацію розкритих матеріалів гаманця та перевірку будь-якого переказу, підготовленого на цьому пристрої.

Пов'язане читання

Як розширення браузера піддають криптовалюту фатальному конструктивному недоліку, який галузь ігнорувала, втративши 713 млн дол. у 2025 році

Злами особистих гаманців досягли 713 мільйонів доларів у 2025 році, зазначаючи, що проблема не в користувачах, а в найкращих практиках рівня браузера.
27 грудня 2025 · Gino Matos

Виявлення залежить від поведінкових сигналів

Рекомендації Microsoft щодо пом'якшення наслідків зосереджені на поведінці. Компанія рекомендує вимкнути AutoRun та AutoPlay для змінних носіїв, блокувати виконання .lnk зі змінних накопичувачів через групову політику де можливо, обмежити непотрібне використання хостів скриптів, таких як wscript.exe та cscript.exe, і переглянути правила зменшення поверхні атаки для обфускованих скриптів та підозрілих ланцюжків дочірніх процесів.

Для команд безпеки найсильнішими сигналами є поведінкові. Microsoft повідомила, що захисники повинні розслідувати випадки, коли рушії скриптів запускають інструменти, такі як curl, cmd.exe, PowerShell або несподівані виконувані файли.

Компанія також виділила активність локального проксі SOCKS5 на localhost:9050, поведінку, пов'язану з буфером обміну, та активність захоплення екрана PowerShell на пристроях, що обробляють конфіденційні фінансові робочі процеси.

Ці сигнали відповідають кільком стандартним технікам ATT&CK, зокрема збору даних буфера обміну, командуванню та управлінню через проксі та постійності через заплановані завдання.

Microsoft Defender також перераховує можливість виявлення для CryptoBandits, включаючи Trojan:Win32/CryptoBandits.A та пов'язані виявлення JavaScript, а також покриття EDR для підозрілих процесів JavaScript, ексфільтрації через curl та активності планувальника завдань.

Звіт Microsoft не розкриває кількість жертв, підтверджені загальні суми крадіжок, географічний розподіл та атрибуцію конкретним акторам. Це обмежує будь-які твердження про масштаб фінансової шкоди.

Урок щодо зберігання базується на спостережуваній поведінці: робочий процес гаманця може бути скомпрометований до того, як транзакція досягне ланцюга.

Головний висновок полягає в тому, що користувачі та оператори криптовалют повинні розглядати кінцеві точки як частину стека гаманця. Контроль USB, обмеження скриптів, перевірка адрес та дисципліна буфера обміну є частиною безпеки самостійного зберігання.

Вони є шляхом, який проходить транзакція до того, як досягне ланцюга.

Публікація «Шкідливе ПЗ CryptoBandits дозволяє злочинцям використовувати ваш USB-накопичувач для доступу до криптовалютних гаманців — попереджає Microsoft» вперше з'явилася на CryptoSlate.

Комбо-прогнози на ЧС: до 200×

Комбо-прогнози на ЧС: до 200×Комбо-прогнози на ЧС: до 200×

До 20 матчів Чемпіонату світу в одному ордері

Відмова від відповідальності: статті, опубліковані на цьому сайті, взяті з відкритих джерел і надаються виключно для інформаційних цілей. Вони не обов'язково відображають погляди MEXC. Всі права залишаються за авторами оригінальних статей. Якщо ви вважаєте, що будь-який контент порушує права третіх осіб, будь ласка, зверніться за адресою crypto.news@mexc.com для його видалення. MEXC не дає жодних гарантій щодо точності, повноти або своєчасності вмісту і не несе відповідальності за будь-які дії, вчинені на основі наданої інформації. Вміст не є фінансовою, юридичною або іншою професійною порадою і не повинен розглядатися як рекомендація або схвалення з боку MEXC.