Microsoft виявила шкідливий код “Крипто-бандити”: він тихо живе на флешках і краде криптовалюту

Новий різновид шкідливого коду, що поширюється через USB-накопичувачі, вміє підміняти адреси криптогаманців прямо під час копіювання — і жертва нічого не помічає. Microsoft Threat Intelligence та команда Microsoft Defender Experts опублікували детальний технічний аналіз загрози, яка активна щонайменше з лютого 2026 року.

Читайте также: Творець “Ти — космос” Павло Остріков готує новий фільм “Трагедія”: давньогрецькі боги в

Шкідливий код отримав назву CryptoBandits. Антивірус Microsoft Defender визначає його як Trojan:Win32/CryptoBandits.A. Зловмисники розповсюджують його через заражені USB-носії: шкідливий код маскується під звичайні документи — файли .doc, .xlsx та .pdf, — ховає оригінали і підкладає замість них ярлики .lnk із власним навантаженням. Користувач відкриває нібито документ, а насправді запускає шкідливий код.

Що відбувається після зараження

Після запуску CryptoBandits розгортає на пристрої два компоненти: модуль розповсюдження, який автоматично заражає кожен новий USB-носій, і модуль крадіжки, що працює у фоні постійно. Обидва закріплюються в системі через заплановані завдання Windows і не видаляються після перезавантаження.

Для зв’язку із командним сервером CryptoBandits використовує мережу Tor: на заражений пристрій розгортається портативний Tor-клієнт, і весь трафік іде через локальний SOCKS5-проксі на порті 9050 до прихованих .onion-адрес. Завдяки цьому IP-адреса оператора залишається невидимою для аналізу. Крім крадіжки, шкідливий код кожні 10 секунд робить п’ять скриншотів екрана та передає їх на сервер — щоб зловмисники могли бачити баланси гаманців жертви. За командою з сервера (тип EVAL) код виконує довільні інструкції на пристрої, фактично перетворюючись на повноцінний бекдор.

Захист і рекомендації

Microsoft рекомендує вимкнути AutoRun для всіх знімних носіїв, заблокувати запуск .lnk-файлів із USB через групові політики та обмежити використання системних скриптових інтерпретаторів wscript.exe і cscript.exe там, де вони не потрібні. Для виявлення зараження варто відстежувати активність локального SOCKS5-проксі на localhost:9050, нетипові дочірні процеси від wscript/cscript і використання curl у зв’язці з PowerShell або cmd.exe.

Головна порада для власників криптогаманців лишається незмінною: завжди вручну звіряти адресу отримувача безпосередньо перед підтвердженням транзакції — повністю, а не лише перші та останні символи.

Читайте также: One UI 9 Beta 3 вже доступна: Samsung терміново “виправляє” Galaxy S26 перед Android 17

Джерело: Microsoft