Пока пользователь копирует адрес кошелька, вредонос уже успел его подменить. Именно так работает CryptoBandits — новый троян для Windows, который Microsoft описала в своём блоге безопасности 17 июня. Программа активна с февраля 2026 года и расползается через обычные USB-флешки.
Механика проста и потому особенно опасна. Вредонос маскируется под привычные файлы на накопителе: Word-документы, Excel-таблицы, PDF. Открываешь «отчёт.xlsx» — но это ярлык .lnk, запускающий трояна. После установки CryptoBandits каждые 500 миллисекунд проверяет буфер обмена Windows. Как только туда попадает адрес Bitcoin, Ethereum, Tron или Monero — программа тихо подставляет кошелёк злоумышленника. Правильный адрес виден при копировании, чужой оказывается в поле при вставке.
Кроме подмены адресов, троян перехватывает seed-фразы (12–24 слова BIP39) и приватные ключи — то есть всё, что даёт полный контроль над кошельком. Данные уходят через Tor: CryptoBandits разворачивает собственный Tor-клиент прямо на заражённом устройстве и общается с командным сервером через .onion-адреса. Именно это делает трафик практически неотслеживаемым для стандартных средств мониторинга сети.
Самовоспроизведение делает угрозу живучей. Когда к заражённому компьютеру подключают чистую флешку — троян копирует себя на неё автоматически. В офисах, где накопители передают из рук в руки, одна инфицированная флешка может тихо распространиться по десятку машин.
Microsoft советует отключить AutoPlay для USB-устройств, заблокировать запуск .lnk-файлов с внешних носителей и ограничить использование wscript.exe. Стоит также следить за активностью на localhost:9050 — там CryptoBandits поднимает Tor-соединение. Для всех, кто регулярно работает с криптой: самая простая и надёжная привычка — вручную сверять первые и последние несколько символов адреса после каждой вставки. Три секунды внимания могут спасти весь кошелёк.



