Microsoft предупредила о новом вирусе для флешек, который незаметно крадет криптовалюту

Ее главная особенность заключается в том, что она способна незаметно подменять адреса криптовалютных кошельков при копировании, из-за чего средства пользователей могут уходить злоумышленникам без каких-либо подозрений со стороны владельца.

Эксперты Microsoft Threat Intelligence и Microsoft Defender сообщили, что угроза активно используется как минимум с февраля 2026 года. Вредоносное ПО получило название CryptoBandits, а защитные решения Microsoft распознают его как Trojan:Win32/CryptoBandits.A.

Для распространения злоумышленники используют зараженные флешки. Вредоносный код маскируется под привычные документы форматов .doc, .xlsx и .pdf. При этом оригинальные файлы скрываются, а вместо них пользователю показываются ярлыки .lnk, содержащие вредоносный сценарий.

В результате человек считает, что открывает обычный документ, однако на самом деле запускает процесс заражения системы.

После активации CryptoBandits устанавливает сразу два модуля:

Оба элемента закрепляются в Windows через планировщик задач, благодаря чему продолжают работать даже после перезагрузки компьютера.

Наиболее опасной функцией вируса специалисты называют подмену криптовалютных адресов в буфере обмена. Каждые полсекунды программа проверяет скопированный текст. Если она обнаруживает адрес кошелька Bitcoin, Ethereum, Tron или Monero, то автоматически заменяет его адресом злоумышленников.

Чтобы пользователь не заметил подмену, вредоносный код сохраняет часть символов исходного адреса — обычно начало или конец строки. При беглой проверке такой адрес выглядит вполне правдоподобно.

Кроме того, программа ищет в буфере обмена конфиденциальные данные:

Для связи с управляющими серверами CryptoBandits применяет сеть Tor. На зараженное устройство устанавливается