Microsoft Threat Intelligence раскрыла новую вредоносную кампанию CryptoBandits, нацеленную на Windows-пользователей с февраля 2026 года. Зловред сочетает в себе функции клиппера для подмены криптокошельков, червя для распространения, а также бэкдорные возможности, включая удалённое выполнение команд.
Заражение начинается с вредоносных файлов ярлыков (.lnk), которые могут попасть на устройство через USB-накопители. После активации запускается червь, создающий новые заражённые ярлыки из легитимных файлов, а также устанавливающий задачи в планировщике для сохранения устойчивости после перезагрузки. Такой механизм даёт злоумышленникам длительный доступ к системе.
Клиппер проверяет буфер обмена каждые 500 миллисекунд, выискивая seed-фразы, приватные ключи и адреса криптокошельков. При обнаружении адреса он подменяет его на контролируемый злоумышленниками, а seed-фразы и ключи отправляет через Tor. Для скрытой связи используется портативный Tor-клиент и локальный SOCKS5-прокси (localhost:9050), что позволяет обходить DNS-фильтрацию.
Особую опасность представляет бэкдор-функционал: вредонос может делать скриншоты и выполнять произвольный код по команде EVAL с удалённого сервера. Microsoft Defender Antivirus детектирует угрозу как Trojan:Win32/CryptoBandits.A. Специалисты компании рекомендуют охотиться не на изолированные алерты, а на цепочки взаимосвязанных событий — например, запуск скриптовыми движками curl, cmd.exe, PowerShell или неожиданных файлов в связке с трафиком на локальный порт 9050.
