Шкідливий код CryptoBandits краде криптовалюту через USB

Новий шкідливий код CryptoBandits краде криптовалюту через USB-накопичувачі

Експерти Microsoft Threat Intelligence та команда Microsoft Defender Experts виявили новий різновид шкідливого програмного забезпечення, який поширюється через USB-носії та здатний непомітно підміняти адреси криптогаманців під час копіювання. Загроза, відома як CryptoBandits, активна щонайменше з лютого 2026 року.

Шкідливий код класифікується антивірусом Microsoft Defender як Trojan:Win32/CryptoBandits.A. Зловмисники розповсюджують його через заражені USB-накопичувачі, маскуючи під звичайні документи — файли формату .doc, .xlsx та .pdf. Насправді оригінальні файли замінюються ярликами .lnk, які при відкритті запускають шкідливе програмне забезпечення.

Механізм роботи після зараження

Після активації CryptoBandits встановлює на пристрої два основні компоненти:

• Модуль розповсюдження — автоматично заражає нові USB-носії, що підключаються до комп’ютера;
• Модуль крадіжки — працює у фоновому режимі та постійно моніторить буфер обміну.

Обидва компоненти закріплюються в системі через заплановані завдання Windows, що забезпечує їхню стійкість навіть після перезавантаження пристрою.

Найнебезпечніша функція шкідливого коду — підміна адрес криптогаманців у буфері обміну. Кожні 500 мілісекунд програма перевіряє скопійований текст і, виявивши адресу гаманця Bitcoin, Ethereum, Tron або Monero, замінює її на адресу зловмисника. Для маскування підміна відбувається зі збереженням перших або останніх символів оригінальної адреси, що ускладнює її виявлення при побіжній перевірці.

Окрім цього, CryptoBandits сканує буфер обміну на наявність seed-фраз (12 або 24 слова за стандартом BIP39) та приватних ключів для Ethereum і Bitcoin.

Зв’язок із командним сервером та додаткові функції

Для зв’язку із сервером управління шкідливий код використовує мережу Tor. На заражений пристрій встановлюється портативний Tor-клієнт, а весь трафік передається через локальний SOCKS5-проксі на порту 9050 до прихованих .onion-адрес. Це унеможливлює відстеження IP-адреси зловмисників.

Крім крадіжки даних, CryptoBandits виконує й інші дії:

• Кожні 10 секунд робить п’ять скриншотів екрана та передає їх на сервер, що дозволяє зловмисникам відстежувати баланси гаманців жертви;
• За командою з сервера (тип EVAL) може виконувати довільні інструкції на пристрої, фактично перетворюючись на повноцінний бекдор.

Як захиститися від CryptoBandits

Microsoft надає низку рекомендацій для захисту від цієї загрози:

• Вимкнути функцію AutoRun для всіх знімних носіїв;
• Заблокувати запуск .lnk-файлів із USB через групові політики;
• Обмежити використання системних скриптових інтерпретаторів wscript.exe та cscript.exe, якщо вони не потрібні;
• Відстежувати підозрілу активність локального SOCKS5-проксі на localhost:9050;
• Звертати увагу на нетипові дочірні процеси від wscript/cscript та використання curl у поєднанні з PowerShell або cmd.exe.

Для власників криптогаманців найважливіша порада залишається незмінною: завжди вручну перевіряти повну адресу отримувача перед підтвердженням транзакції, а не лише її перші та останні символи.