В Windows нашли троян для кражи криптовалютных ключей

Троян для кражи криптовалютных ключей начал атаковать пользователей Windows по всему миру. Об угрозе сообщили специалисты Microsoft.

Вредоносное ПО активно с февраля 2026 года. Оно перехватывает буфер обмена, ищет seed-фразы и подменяет адреса криптокошельков.

Microsoft Defender определяет угрозу как Trojan/CryptoBandits.A. По сути, это клиппер и стилер в одном наборе.

Как работает троян для кражи криптовалютных ключей

Главная задача трояна — украсть доступ к криптовалютным кошелькам. Он отслеживает, что пользователь копирует в буфер обмена.

Если программа видит криптоадрес, она может заменить его адресом злоумышленников. Пользователь думает, что отправляет деньги на правильный кошелёк.

На деле средства могут уйти хакерам. Именно поэтому такие атаки особенно опасны при переводах BTC, ETH, USDT и других активов.

Троян также ищет seed-фразы и приватные ключи. Это уже прямой риск полной потери кошелька.

Угроза распространяется через .lnk-файлы

По данным Microsoft, заражение начинается с вредоносных ярлыков с расширением .lnk. Такие файлы распространяются через USB-накопители.

Пользователь может думать, что открывает обычный документ. На самом деле запускается скрытый вредоносный процесс.

После этого программа разворачивает два модуля. Первый отвечает за заражение новых флешек. Второй занимается кражей данных и подменой адресов.

Такой подход делает угрозу похожей на «червя». Она может распространяться дальше через съёмные носители.

Как вирус закрепляется в Windows

После запуска троян создаёт задачи в «Планировщике заданий» Windows. Это помогает ему сохраняться в системе.

Также вредоносная программа добавляет свои папки в исключения антивируса. Так она пытается снизить вероятность обнаружения.

Для усложнения анализа используется многоуровневое шифрование. Компоненты раскрываются только в оперативной памяти во время выполнения.

Кроме того, троян проверяет запущенные процессы. Если пользователь открывает «Диспетчер задач», вредоносное ПО может прекратить работу.

Зачем троян использует Tor

Вместо обычной связи с сервером злоумышленников программа запускает портативный клиент Tor. В системе он маскируется под файл ugate.exe.

Дальше трафик проходит через локальный прокси SOCKS5 по адресу localhost:9050. Это позволяет скрывать конечные командные серверы.

Командная инфраструктура работает через скрытые адреса в зоне .onion. Для администраторов и систем защиты такую активность сложнее отследить.

Через этот канал троян может передавать украденные данные. Также он способен получать команды от злоумышленников.

Что именно крадёт вредоносное ПО

Microsoft указывает, что троян нацелен на BIP39 seed-фразы из 12 или 24 слов. Это стандарт восстановления многих криптокошельков.

Также программа ищет приватные ключи биткоина и Ethereum. Если такие данные попадут к злоумышленникам, кошелёк фактически считается скомпрометированным.

Троян также делает снимки экрана. По данным Microsoft, он может отправлять серии скриншотов на сервер хакеров.

Это помогает преступникам понять, какие кошельки и балансы есть у жертвы. То есть атака не ограничивается простой подменой адреса.

Как подменяются адреса кошельков

После заражения программа проверяет буфер обмена примерно каждые 500 миллисекунд. Если пользователь копирует адрес кошелька, троян пытается его заменить.

Для старых биткоин-адресов Legacy и P2SH подбираются адреса, похожие по первым символам. Это снижает шанс, что пользователь заметит замену.

Для новых адресов Taproot и Bech32 используется другая логика. Там программа может сохранять совпадение по последнему символу.

Адреса Tron длиной 34 знака также подменяются с сохранением первых символов. Адреса Monero могут заменяться одним статичным адресом злоумышленников.

Почему это опасно для частного инвестора

Такая атака особенно неприятна тем, что пользователь сам подтверждает перевод. В интерфейсе кошелька он видит адрес, но не всегда проверяет его полностью.

Многие проверяют только первые и последние символы. Хакеры как раз используют этот человеческий рефлекс.

Если адрес был подменён, транзакцию в блокчейне нельзя просто отменить. Банк тут не позвать, кнопки «вернуть как было» тоже нет.

Поэтому при работе с криптовалютой важно проверять весь адрес. Особенно при крупных переводах.

Что рекомендует Microsoft

Microsoft советует службам безопасности смотреть не только на статические сигнатуры. Важнее отслеживать поведение системы.

Подозрительными признаками могут быть запуски WScript или CScript вместе с curl, PowerShell или командной строкой.

Также стоит проверять активность локального SOCKS5-прокси на localhost:9050. Это может быть признаком скрытого Tor-соединения.

Для компаний Microsoft рекомендует отключать AutoRun и AutoPlay для съёмных носителей. Также стоит блокировать запуск .lnk-файлов с флешек через групповые политики.

Как снизить риск заражения

Для частного пользователя главное правило простое: не открывать неизвестные файлы с флешек. Особенно если это ярлыки .lnk.

Также стоит отключить автозапуск съёмных носителей. Это базовая, но полезная мера безопасности.

При переводе криптовалюты нужно сверять адрес вручную. Лучше проверять не только первые и последние символы.

Для крупных сумм разумно сначала отправить небольшой тестовый перевод. Это не гарантия защиты, но снижает риск крупной ошибки.

Seed-фразу и приватные ключи нельзя копировать в буфер обмена на обычном компьютере. Лучше хранить их офлайн и не вводить без необходимости.

Криптобезопасность снова выходит на первый план

Троян для кражи криптовалютных ключей показывает, что атаки становятся всё более точечными. Хакеры бьют не только по биржам и DeFi-протоколам.

Обычные пользователи тоже остаются целью. Особенно те, кто хранит криптовалюту на компьютере и часто делает переводы.

Главный риск — потеря контроля над кошельком. Если seed-фраза или приватный ключ украдены, вернуть активы почти невозможно.

Поэтому безопасность в криптовалютах начинается не с сложных слов, а с простых действий. Не открывать подозрительные файлы, проверять адреса и не хранить ключи в доступной среде.

Новость важна, потому что троян для кражи криптовалютных ключей бьёт напрямую по безопасности кошельков, а не по цене монет. Для рынка влияние скорее негативное в части доверия и кибербезопасности, но не прямое для BTC или ETH. Это касается BTC, ETH, Tron, Monero, криптокошельков, бирж и личного хранения активов. Дальше инвестору стоит смотреть на обновления защитного ПО, правила работы с USB-носителями, проверку адресов перед переводом и хранение seed-фраз офлайн. Expert Finance

: в крипте иногда опасен не медвежий рынок, а обычная флешка, которая решила поработать троянским конём.