Двухкомпонентный вредонос эксплуатирует функциональность Windows и сеть Tor, а также использует flash-накопители в качестве основного вектора распространения.
19 Июня 2026 11:29 19 Июн 2026 11:29 |
Двухкомпонентный вредонос эксплуатирует функциональность Windows и сеть Tor, а также использует flash-накопители в качестве основного вектора распространения.
Исследователи отделов кибербезопасности корпорации Microsoft - Threat Intelligence и Defender Experts - выявили новый вредонос, который охотится за данными криптокошельков. Его отличительной чертой является способность к самораспространению, то есть, речь идёт о «черве».
Вредонос относится к классу clipper, то есть его основная функция - перехват и подмена данных из буфера обмена Windows (Clipboard). Отдельно оговаривается, что все коммуникации с операторами «червя» осуществляются через сеть Tor.
Двухкомпонентный вредонос эксплуатирует функциональность Windows и сеть Tor, распространяясь через flash-накопители
Кампания активна как минимум с февраля 2026 г. Основным вектором распространения червя стали LNK-файлы (ярлыки) на USB-накопителях.
Попав в систему, LNK-файл распаковывает компонент «червя» в виде исполняемого файла. Тот проверяет наличие уже установленной вредоносной нагрузки и прекращает выполнение, если система уже заражена. Если заражения нет, компонент подгружает вредоносные компоненты с контрольного сервера через Tor.
Далее LNK-файл выполняет сканирование USB-накопителя на наличие распространённых документов с расширениями .doc, .xlsx и .pdf и скрывает их, а на их месте создаёт дополнительные LNK-ярлыки с теми же именами, так что пользователь может и не понять, что запустил вредонос, а не открыл нужный ему документ.
При этом пользователь не осознаёт, что фактически запускает исполняемый файл, а не документ.
Как указывают исследователи Microsoft, «червь» добавляет в исключения Defender все каталоги, в которые выгружаются вредоносные компоненты.
В частности, в каталог C:\Users\Public\Documents помещаются два вредоносных JavaScript-файла, а также создаёт подкаталоги со случайными пятисимвольными именами.
Кроме того, червь обеспечивает закрепление в системе путём создания двух задач в системном планировщике. Первая отвечает за копирование «червя» на новые USB-накопители, вторая за запуск инфостилера.
В Microsoft также отметили, что вредонос использует многоуровневую обфускацию: все компоненты хранятся в зашифрованном виде и расшифровываются только во время выполнения. Скрипт-установщик, написанный на Python, обфусцируется средствами PyArmor и упакован в автономный исполняемый файл с помощью PyInstaller. Оба JavaScript-модуля также защищены двухуровневой обфускацией.
Программа снабжена и базовым механизмом противодействия анализу: через WMI запрашивает класс Win32_Process и при обнаружении «Диспетчера задач» (Task Manager) немедленно прекращает выполнение.
Модуль кражи данных (инфостилер) запускается только если «Диспетчер задач» неактивен. С системой он взаимодействует посредством WScript и ActiveXObject.
Для запуска и установления соединения через файл Tor используется исполняемый файл ugate.exe.
Каждые полсекунды вредоносная программа проверяет буфер обмена на наличие следующих данных: 12-словных seed-фраз стандарта BIP39; 24-словных seed-фраз стандарта BIP39; закрытых ключей Ethereum; ключей Bitcoin в формате WIF; адресов Bitcoin-кошельков форматов Legacy, P2SH, Bech32 и Taproot; адресов кошельков Tron; адресов кошельков Monero.
Помимо этого каждые десять секунд вредонос делает сразу пять снимков экрана жертвы и через утилиту curl отправляет их на сервер операторов.
По данным Microsoft, вредонос также поддерживает удалённое выполнение кода (Remote Code Execution, RCE), которое может быть инициировано инструкцией EVAL, полученной от C2-сервера. В частности, программа загружает JavaScript-код в файл с именем cfile и выполняет его на заражённой системе.
«Тот факт, что кампания активна с февраля этого года и только сейчас была задокументирована, указывает на её эффективность, - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Использование flash-накопителей в качестве вектора распространения и файлов .LNK как "разносчика" - ход неоригинальный, но эффективный: сами по себе файлы .LNK чаще всего рассматриваются как безвредные, хотя это и неверно. В любом случае, сегодня самым верным решением будет запретить автозапуск любого содержимого с flash-накопителей, в том числе, совершенно новых, только что приобретённых».
В Microsoft рекомендуют отключить как AutoRun и AutoPlay для съёмных носителей, так и запретить запуск LNK-файлов через GPO.
Наиболее надёжными индикаторами компрометации являются поведенческие признаки, поэтому исследователи рекомендуют отслеживать прежде всего активность процессов wscript.exe и cscript.exe, а также внеплановые запуски curl, PowerShell и cmd.exe и появление нетипичных дочерних процессов.
Кроме того, подозрительными признаками являются любые подключения к localhost:9050 и активность, связанная с использованием Tor-прокси.
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Новый «червь» охотится за данными криптокошельков, распространяясь через «флешки» | -2 | 7 | 19-06-2026 |
| 2 | Сверхпопулярный бесплатный архиватор позволяет в два счета захватить ПК. Жертве достаточно лишь открыть архив | -5 | 7 | 13-10-2025 |
| 3 | Россиян предупредили о схеме мошенничества с уведомлением о БПЛА | -2 | 6 | 27-06-2026 |
| 4 | Эксперты обнаружили новую волну скрытых кибератак на российские компании | 0 | 0 | 13-08-2019 |
| 5 | В России вдвое возросло число преступлений с использованием пластиковых карт | 0 | 0 | 13-08-2019 |
| 6 | DLBI: мошенники атакуют безработных | 0 | 5 | 22-06-2026 |
| 7 | "Российская газета" рассказала о новом способе мошенничества от имени банков | 0 | 0 | 13-08-2019 |
| 8 | «Лаборатория Касперского» выявила новую схему кражи данных через приложения для водителей | 0 | 7 | 25-06-2026 |
| 9 | В сети найден «конструктор», серийно изготовляющий вредоносы для всех основных ОС | 0 | 5 | 08-07-2026 |
| 10 | Число заражений мобильных устройств выросло на 70% | 0 | 7 | 26-06-2026 |