Microsoft обнаружила Crypto Clipper: USB-червь крадёт криптокошельки и уходит в Tor

Microsoft описала новую кампанию Crypto Clipper — самораспространяющийся вредонос для Windows, который охотится за криптовалютными данными и одновременно работает как лёгкий бэкдор. По данным Ars Technica со ссылкой на Microsoft, вредонос распространяется через .lnk-файлы на USB-накопителях, следит за буфером обмена, ищет адреса кошельков и seed-фразы, а украденные данные отправляет через Tor.

Схема выглядит опасной именно своей простотой. Когда заражённая флешка подключается к компьютеру, ярлык проверяет, установлен ли вредонос на машине. Если нет — он загружает компоненты через локальный SOCKS5-прокси и переносимый Tor-клиент. Чтобы скрыть следы, Crypto Clipper сканирует содержимое USB-накопителя и создаёт вредоносные ярлыки с похожими именами, рассчитывая, что пользователь откроет их как обычные файлы.

Главная цель — криптовалютные операции. Вредонос мониторит буфер обмена и ищет строки, похожие на адреса кошельков или стандартные seed-фразы из 12 или 24 слов. При обнаружении он может заменить адрес получателя на кошелёк злоумышленника, из-за чего пользователь вручную подтверждает перевод, но деньги уходят не туда. Microsoft также отмечает, что вредонос делает пять снимков экрана за десять секунд и отправляет их оператору — вероятно, чтобы дать контекст о кошельке, бирже или приложении, с которым работает жертва.

Особенность кампании в том, что у неё нет классической инфраструктуры управления с легко блокируемым IP-адресом. Связь строится через Tor, а сценарии запускаются на заражённой машине, превращая финансовый стилер в инструмент удалённого выполнения команд. Microsoft указывает, что Defender for Endpoint распознаёт отдельные компоненты как подозрительные JavaScript-процессы и возможную эксфильтрацию через Curl, а Defender Antivirus детектирует семейство как Trojan:Win32/CryptoBandits.A.

Для защитников ключевые признаки — запуск скриптовых интерпретаторов с подозрительными дочерними процессами, локальный прокси на localhost:9050, команды PowerShell для снятия скриншотов и операции с буфером обмена. Для пользователей главный практический вывод прежний: не открывать неизвестные ярлыки с USB-носителей, проверять адрес получателя перед криптопереводом и не хранить seed-фразы в местах, откуда их можно скопировать одним кликом.

Источник: Ars Technica, 18 июня 2026.