Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Новый «червь» охотится за данными криптокошельков, распространяясь через «флешки»

Дата публикации: 19-06-2026 08:29:00

Двухкомпонентный вредонос эксплуатирует функциональность Windows и сеть Tor, а также использует flash-накопители в качестве основного вектора распространения.

Основное содержимое страницы с новостью.

19 Июня 2026 11:29 19 Июн 2026 11:29 |

Новый «червь» охотится за данными криптокошельков, распространяясь через «флешки»

Двухкомпонентный вредонос эксплуатирует функциональность Windows и сеть Tor, а также использует flash-накопители в качестве основного вектора распространения.

И снова «червь»

Исследователи отделов кибербезопасности корпорации Microsoft - Threat Intelligence и Defender Experts - выявили новый вредонос, который охотится за данными криптокошельков. Его отличительной чертой является способность к самораспространению, то есть, речь идёт о «черве».

Вредонос относится к классу clipper, то есть его основная функция - перехват и подмена данных из буфера обмена Windows (Clipboard). Отдельно оговаривается, что все коммуникации с операторами «червя» осуществляются через сеть Tor.

Двухкомпонентный вредонос эксплуатирует функциональность Windows и сеть Tor, распространяясь через flash-накопители

Кампания активна как минимум с февраля 2026 г. Основным вектором распространения червя стали LNK-файлы (ярлыки) на USB-накопителях.

Попав в систему, LNK-файл распаковывает компонент «червя» в виде исполняемого файла. Тот проверяет наличие уже установленной вредоносной нагрузки и прекращает выполнение, если система уже заражена. Если заражения нет, компонент подгружает вредоносные компоненты с контрольного сервера через Tor.

Далее LNK-файл выполняет сканирование USB-накопителя на наличие распространённых документов с расширениями .doc, .xlsx и .pdf и скрывает их, а на их месте создаёт дополнительные LNK-ярлыки с теми же именами, так что пользователь может и не понять, что запустил вредонос, а не открыл нужный ему документ.

При этом пользователь не осознаёт, что фактически запускает исполняемый файл, а не документ.

Как указывают исследователи Microsoft, «червь» добавляет в исключения Defender все каталоги, в которые выгружаются вредоносные компоненты.

В частности, в каталог C:\Users\Public\Documents помещаются два вредоносных JavaScript-файла, а также создаёт подкаталоги со случайными пятисимвольными именами.

Кроме того, червь обеспечивает закрепление в системе путём создания двух задач в системном планировщике. Первая отвечает за копирование «червя» на новые USB-накопители, вторая за запуск инфостилера.

В Microsoft также отметили, что вредонос использует многоуровневую обфускацию: все компоненты хранятся в зашифрованном виде и расшифровываются только во время выполнения. Скрипт-установщик, написанный на Python, обфусцируется средствами PyArmor и упакован в автономный исполняемый файл с помощью PyInstaller. Оба JavaScript-модуля также защищены двухуровневой обфускацией.

Программа снабжена и базовым механизмом противодействия анализу: через WMI запрашивает класс Win32_Process и при обнаружении «Диспетчера задач» (Task Manager) немедленно прекращает выполнение.

Как обнести буфер обмена

Модуль кражи данных (инфостилер) запускается только если «Диспетчер задач» неактивен. С системой он взаимодействует посредством WScript и ActiveXObject.

Для запуска и установления соединения через файл Tor используется исполняемый файл ugate.exe.

Каждые полсекунды вредоносная программа проверяет буфер обмена на наличие следующих данных: 12-словных seed-фраз стандарта BIP39; 24-словных seed-фраз стандарта BIP39; закрытых ключей Ethereum; ключей Bitcoin в формате WIF; адресов Bitcoin-кошельков форматов Legacy, P2SH, Bech32 и Taproot; адресов кошельков Tron; адресов кошельков Monero.

Помимо этого каждые десять секунд вредонос делает сразу пять снимков экрана жертвы и через утилиту curl отправляет их на сервер операторов.

По данным Microsoft, вредонос также поддерживает удалённое выполнение кода (Remote Code Execution, RCE), которое может быть инициировано инструкцией EVAL, полученной от C2-сервера. В частности, программа загружает JavaScript-код в файл с именем cfile и выполняет его на заражённой системе.

«Тот факт, что кампания активна с февраля этого года и только сейчас была задокументирована, указывает на её эффективность, - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Использование flash-накопителей в качестве вектора распространения и файлов .LNK как "разносчика" - ход неоригинальный, но эффективный: сами по себе файлы .LNK чаще всего рассматриваются как безвредные, хотя это и неверно. В любом случае, сегодня самым верным решением будет запретить автозапуск любого содержимого с flash-накопителей, в том числе, совершенно новых, только что приобретённых».

В Microsoft рекомендуют отключить как AutoRun и AutoPlay для съёмных носителей, так и запретить запуск LNK-файлов через GPO.

Наиболее надёжными индикаторами компрометации являются поведенческие признаки, поэтому исследователи рекомендуют отслеживать прежде всего активность процессов wscript.exe и cscript.exe, а также внеплановые запуски curl, PowerShell и cmd.exe и появление нетипичных дочерних процессов.

Кроме того, подозрительными признаками являются любые подключения к localhost:9050 и активность, связанная с использованием Tor-прокси.



Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Новый «червь» охотится за данными криптокошельков, распространяясь через «флешки»-2719-06-2026
2Сверхпопулярный бесплатный архиватор позволяет в два счета захватить ПК. Жертве достаточно лишь открыть архив-5713-10-2025
3Россиян предупредили о схеме мошенничества с уведомлением о БПЛА-2627-06-2026
4Эксперты обнаружили новую волну скрытых кибератак на российские компании0013-08-2019
5В России вдвое возросло число преступлений с использованием пластиковых карт0013-08-2019
6DLBI: мошенники атакуют безработных0522-06-2026
7"Российская газета" рассказала о новом способе мошенничества от имени банков0013-08-2019
8«Лаборатория Касперского» выявила новую схему кражи данных через приложения для водителей0725-06-2026
9В сети найден «конструктор», серийно изготовляющий вредоносы для всех основных ОС0508-07-2026
10Число заражений мобильных устройств выросло на 70%0726-06-2026

Классификация: Наука. Схожих патентов: 0. Схожих новостей: 10. Тональность: -2. Информативность: 6. Источник: www.cnews.ru.