Microsoft Threat Intelligence описала вредоносную программу для Windows, которая с февраля 2026 года расходится через USB-накопители и заражает компьютеры. Внутри системы она охотится за данными криптокошельков и подменяет скопированные адреса получателей, а также открывает злоумышленнику удаленный доступ к компьютеру.
Как работает троян
Заражение начинается с подмены файлов на флешке. Программа находит обычные документы, прячет их и выставляет вместо них поддельные значки с теми же именами. Человек открывает то, что считает своим файлом, и запускает вредоносный код.
Внутри программа делится на две части: один компонент расползается на каждую новую флешку, другой ворует данные кошельков. Оба прописываются в планировщике заданий и поднимаются заново после перезагрузки. Запускаясь, программа первым делом проверяет процессы и выключается при открытом Диспетчере задач, чтобы не попасть в руки аналитику. Код хранится в зашифрованном виде и раскрывается только в момент работы.
Троян дважды в секунду проверяет буфер обмена. Поймав скопированный адрес кошелька, он подменяет его на адрес злоумышленника. Мало кто сверяет адрес целиком — обычно пользователь бегло смотрит на первые и последние символы. Подмену подстроена именно под эту привычку: крайние цифры совпадают, и у человека не возникает подозрений.
Из буфера обмена программа вытаскивает также сид-фразы и приватные ключи от кошельков. Добытые данные она отправляет на сервер злоумышленника и стирает у себя только после подтверждения, что данные дошли; а чтобы он сразу оценил добычу, делается несколько экранов с разницей в секунды — на них видны кошельки жертвы и суммы на счетах.
Свой управляющий сервер программа находит не по обычному адресу, а через анонимную сеть Tor. Это прячет настоящее расположение сервера и не дает перекрыть связь простой блокировкой.
Как защитить свои данные
Microsoft советует смотреть на странности в поведении системы: посторонние процессы, запущенные служебными сценариями, обращения к локальному прокси, команды снятия экрана, следы подмены адресов. Также рекомендовано отключить автозапуск съемных носителей, запретить открытие ярлыков с внешних дисков и ограничить служебные средства запуска сценариев.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.
