Microsoft предупредила о новом риске для владельцев цифровых активов: вредоносная программа Crypto Clipper, также фигурирующая в детектах как CryptoBandits, научилась не просто подменять адреса криптовалютных кошельков, а закрепляться в системе, распространяться через USB-накопители и управляться через Tor. Это делает атаку опасной не только для частных пользователей, но и для компаний, где сотрудники работают с биржами, кошельками, платежами или Web3-инфраструктурой.
По данным Microsoft Threat Intelligence и Microsoft Defender Experts, кампания активна с февраля 2026 года. Заражение начинается с вредоносных ярлыков Windows формата .lnk. Снаружи они выглядят как обычные документы — например Word, Excel или PDF-файлы на флешке. Но при открытии пользователь запускает не документ, а цепочку вредоносных скриптов. Дальше программа прячет оригинальные файлы, создает новые ярлыки с теми же именами и заражает другие подключенные USB-устройства. По сути, старый сценарий «зараженной флешки» получил современную финансовую цель.
Читайте также
Минтранс РФ: Роботы-доставщики и дроны заменят обычных курьеров
Главная функция Crypto Clipper — кража данных из буфера обмена. Это та временная область, куда попадает текст после команды «копировать». Если пользователь копирует seed-фразу, приватный ключ или адрес кошелька, вредоносная программа пытается распознать эти данные и отправить их злоумышленникам. Особенно опасна подмена адресов: человек копирует настоящий адрес получателя, вставляет его в форму перевода, а malware незаметно заменяет его на адрес атакующего. Для Bitcoin, Tron, Monero и других сетей программа подбирает адреса так, чтобы первые или последние символы были похожи на оригинал. Многие пользователи проверяют только начало и конец адреса — именно на этом и строится атака.
Отдельная проблема — использование Tor. Crypto Clipper запускает встроенный портативный Tor-клиент под именем ugate.exe и передает данные через локальный SOCKS5-прокси. Это помогает скрыть управляющий сервер, который работает как onion-сервис и усложняет блокировку по IP-адресу. В Microsoft прямо указывают, что такая связка дает атакующим «немедленную монетизацию и продолжительный контроль» над зараженным устройством.
На этом функции не заканчиваются. Вредоносная программа делает скриншоты экрана, отправляет их через Tor и может выполнять удаленные команды через механизм EVAL. То есть это уже не просто клиппер для подмены адресов, а легкий бэкдор: злоумышленник получает возможность оценить баланс, понять, чем занимается жертва, и при необходимости выполнить дополнительный код. Microsoft Defender Antivirus определяет часть этой угрозы как Trojan:Win32/CryptoBandits.A, а поведенческие сигналы включают подозрительный запуск скриптов, curl, PowerShell и сетевую активность через localhost:9050.
Почему эта новость важна именно сейчас? Рынок цифровых активов становится все более массовым: пользователи переводят стейблкоины, покупают токены, подключают кошельки к сервисам и часто делают это с обычных домашних или офисных компьютеров. Атака Crypto Clipper бьет именно по привычке быстро копировать длинные адреса, не вчитываясь в каждую строку. Для обычного пользователя главный вывод простой: при работе с цифровыми активами нельзя доверять только копированию и вставке. Адрес кошелька нужно проверять полностью или использовать QR-коды, аппаратные кошельки и whitelist-адреса на биржах. Seed-фразы и приватные ключи нельзя копировать в буфер обмена на обычном рабочем компьютере. Флешки из неизвестных источников лучше не открывать вообще, а в компаниях стоит отключать AutoRun/AutoPlay, блокировать запуск .lnk с removable media и ограничивать работу WScript и CScript.
История Crypto Clipper показывает, как быстро эволюционируют атаки на рынок криптовалют. Раньше злоумышленникам было достаточно фишинговой страницы. Теперь они комбинируют зараженные USB-накопители, скрипты Windows, Tor, скриншоты и удаленное управление. Для индустрии цифровых активов это тревожный сигнал: безопасность кошелька начинается не только с блокчейна, но и с самого устройства, на котором пользователь нажимает «копировать» и «вставить».
Меню 
Знания 
События 
Новости 
Курсы валют