Від викрадення гаманця до віддаленого керування: Microsoft викриває нову хвилю криптовалютного шкідливого програмного забезпечення, що націлене на користувачів Windows | Metaverse Post

Коротко

Microsoft виявила кампанію з використанням криптографічного кліпера для Windows, яка використовує інфраструктуру на базі Tor для крадіжки облікових даних гаманців, перехоплення транзакцій та підтримки віддаленого доступу.

Технологічна компанія Microsoft повідомила про відкриття кампанії з використанням шкідливого програмного забезпечення-кліпера для криптовалют на базі Windows, яка цілеспрямовано атакує користувачів з лютого 2026 року. Загрозу, виявлену Microsoft Threat Intelligence та Microsoft Defender Experts, поєднує крадіжку буфера обміну, цілеспрямовану атаку на криптовалютні гаманці та можливості віддаленого доступу для крадіжки цифрових активів і збереження контролю над компрометованими системами.

Шкідливе програмне забезпечення розроблено для перехоплення чутливої інформації, пов’язаної з криптовалютами, включаючи адреси гаманців, фрази-сід та приватні ключі. Microsoft повідомила, що загроза поширюється переважно через шкідливі файли ярликів (.lnk), розповсюджувані через знімні USB-накопичувачі. Після активації шкідливе програмне забезпечення розгортає додаткові компоненти, що забезпечують стійкість, збір даних і зв’язок з інфраструктурою, контрольованою зловмисниками.

На відміну від традиційних кампаній з шкідливим програмним забезпеченням, що використовують видимі сервери команд і контролю, ця кампанія використовує зібраний проксі Tor для приховування мережевої активності. Шкідливе програмне забезпечення запускає портативний клієнт Tor через Windows Script Host і скрипти на базі ActiveX, маршрутизуючи комунікації через локальний проксі SOCKS5 перед підключенням до серверів прихованих сервісів. Такий підхід зменшує видимість і дозволяє зловмисникам зберігати анонімний доступ до інфікованих пристроїв.

Атака поєднує дві основні функції: компонент поширення, що розповсюджується через інфіковані файли та знімні носії, і компонент кліпера-крадія, орієнтований на крадіжку криптовалют. Шкідливе програмне забезпечення може створювати шкідливі ярлики, що виглядають як посилання на легітимні документи, змушуючи користувачів без їхнього усвідомлення запускати шкідливий код. Також воно створює заплановані завдання для збереження стійкості та продовження роботи після перезавантаження системи.

Нове покоління інфраструктури крадіжки криптовалют

Шкідливе програмне забезпечення демонструє зсув у бік легких, скриптових загроз, що поєднують фінансову крадіжку з більш широкими можливостями бекдору. Після інфікування шкідливе програмне забезпечення постійно моніторить активність буфера обміну, шукаючи дані, пов’язані з криптовалютами. Коли користувачі копіюють адреси гаманців, шкідливе програмне забезпечення може замінювати їх на адреси, контрольовані зловмисниками, перенаправляючи транзакції без негайного виявлення жертвою.

Загроза також шукає приватні ключі Bitcoin і Ethereum, а також фрази-сід BIP39, які зазвичай використовуються для відновлення криптовалютних гаманців. Зібрана інформація передається зловмисникам через канали на базі Tor, а скріншоти збираються для додаткового контексту щодо активності гаманця та балансу рахунків.

Microsoft підкреслила, що шкідливе програмне забезпечення має можливості віддаленого виконання команд, що дозволяє зловмисникам надсилати інструкції та виконувати додатковий код на інфікованих системах. Це розширює загрозу від простого кліпера для криптовалют до гнучкого інструменту, здатного підтримувати подальшу зловмисну діяльність.

Дослідники безпеки зазначили, що кампанія значною мірою залежить від поведінкових індикаторів, а не від традиційного виявлення за файлами. Серед підозрілої активності — запуск скриптових двигунів несподіваних процесів, маніпуляція адресами криптовалют, захоплення екрана за допомогою PowerShell і незвичайні з’єднання з проксі Tor через порт localhost 9050.

Microsoft Defender Antivirus виявляє пов’язані компоненти сімейства шкідливого програмного забезпечення під позначенням Trojan:Win32/CryptoBandits.A, тоді як Microsoft Defender for Endpoint забезпечує додаткові поведінкові детекції підозрілої скриптової активності, спроби ексфільтрації даних і аномальне виконання процесів.

Microsoft порадила організаціям посилити захист від загроз знімних носіїв, обмежити непотрібне виконання скриптів, контролювати підозрілі активності проксі та застосовувати заходи безпеки проти обфускованих скриптів. Компанія також рекомендувала переглянути поведінку моніторингу буфера обміну та досліджувати системи, де скриптові інструменти взаємодіють із мережевими утилітами.

Відкриття підкреслює зростаючу складність шкідливого програмного забезпечення, орієнтованого на криптовалюти, коли зловмисники все частіше поєднують автоматизовані техніки крадіжки гаманців, анонімні системи зв’язку та стійкі механізми доступу. Оскільки цифрові активи продовжують інтегруватися у фінансову діяльність, очікується, що команди з безпеки приділятимуть більше уваги захисту облікових даних гаманців і моніторингу поведінки, пов’язаної з криптовалютними загрозами.