CryptoBandits ворует крипту через флешки и прячет следы в Tor

iEXExchanger
CryptoBandits ворует крипту через флешки и прячет следы в Tor

Microsoft предупредила о трояне CryptoBandits: вредонос распространяется через USB-флешки, подменяет адреса кошельков в буфере обмена и передаёт seed-фразы через сеть Tor.

Пока пользователь копирует адрес кошелька, вредонос уже успел его подменить. Именно так работает CryptoBandits — новый троян для Windows, который Microsoft описала в своём блоге безопасности 17 июня. Программа активна с февраля 2026 года и расползается через обычные USB-флешки.

Механика проста и потому особенно опасна. Вредонос маскируется под привычные файлы на накопителе: Word-документы, Excel-таблицы, PDF. Открываешь «отчёт.xlsx» — но это ярлык .lnk, запускающий трояна. После установки CryptoBandits каждые 500 миллисекунд проверяет буфер обмена Windows. Как только туда попадает адрес Bitcoin, Ethereum, Tron или Monero — программа тихо подставляет кошелёк злоумышленника. Правильный адрес виден при копировании, чужой оказывается в поле при вставке.

Кроме подмены адресов, троян перехватывает seed-фразы (12–24 слова BIP39) и приватные ключи — то есть всё, что даёт полный контроль над кошельком. Данные уходят через Tor: CryptoBandits разворачивает собственный Tor-клиент прямо на заражённом устройстве и общается с командным сервером через .onion-адреса. Именно это делает трафик практически неотслеживаемым для стандартных средств мониторинга сети.

Самовоспроизведение делает угрозу живучей. Когда к заражённому компьютеру подключают чистую флешку — троян копирует себя на неё автоматически. В офисах, где накопители передают из рук в руки, одна инфицированная флешка может тихо распространиться по десятку машин.

Microsoft советует отключить AutoPlay для USB-устройств, заблокировать запуск .lnk-файлов с внешних носителей и ограничить использование wscript.exe. Стоит также следить за активностью на localhost:9050 — там CryptoBandits поднимает Tor-соединение. Для всех, кто регулярно работает с криптой: самая простая и надёжная привычка — вручную сверять первые и последние несколько символов адреса после каждой вставки. Три секунды внимания могут спасти весь кошелёк.

Вопросы и ответы

Частые вопросы по теме статьи

Что такое CryptoBandits и как он крадёт криптовалюту?

CryptoBandits — троян для Windows, который проверяет буфер обмена каждые 500 миллисекунд. Как только вы копируете адрес кошелька Bitcoin, Ethereum, Tron или Monero, вирус подменяет его на адрес злоумышленника. Деньги уходят не тому получателю. Кроме адресов, вредонос перехватывает seed-фразы и приватные ключи.

Как CryptoBandits попадает на компьютер?

Через USB-флешки. Вирус подменяет файлы на накопителе ярлыками .lnk с такими же именами. Открываешь «презентация.pdf» — это ярлык, запускающий трояна. После заражения CryptoBandits автоматически копирует себя на любую чистую флешку, подключённую к заражённому ПК.

Как защитить свой криптокошелёк от этого вируса?

Отключите AutoPlay для USB-устройств и заблокируйте запуск .lnk-файлов с внешних носителей. Главная привычка: всегда вручную сверяйте первые и последние несколько символов адреса после вставки. Также следите за активностью на localhost:9050 — там CryptoBandits устанавливает Tor-соединение.

Почему вредонос использует Tor?

Tor скрывает расположение командных серверов злоумышленников. CryptoBandits разворачивает собственный Tor-клиент на заражённом устройстве и отправляет украденные данные через .onion-адреса. Это делает трафик практически невидимым для стандартных средств сетевого мониторинга.