Криптовалютный клипер использует Tor и червеподобное распространение для сохранения контроля
Было идентифицировано вредоносное ПО, которое крадет данные из буфера обмена и использует их для кражи криптовалюты. Эта угроза была обнаружена в феврале 2026 года и с тех пор затронула многих пользователей. Клипер использует Tor и червеподобное распространение для сохранения контроля и сохранения персистентности на зараженных системах.
Подробности
Клипер использует Windows Script Host и ActiveX-драйверную логику для запуска Tor-прокси и подключения к скрытому серверу управления. Он выполняет частую кражу данных из буфера обмена, эксфильтрацию скриншотов и замену адресов криптовалютных кошельков. Клипер не требует традиционного инсталлера или открытой IP-инфраструктуры управления, вместо этого он использует портативный Tor-клиент и прокси SOCKS5 для маршрутизации трафика. Это позволяет ему сливаться с другими процессами и выполнять удаленное выполнение кода, превращая его в легкий бэкдор.Что делать
Защитникам следует обратить внимание на поведенческие сигналы, такие как запуск подозрительных процессов интерпретаторами сценариев, использование прокси localhost:9050, команды захвата экрана в PowerShell и признаки инспекции буфера обмена или замены криптовалютных адресов. Microsoft Defender для Endpoint обнаруживает несколько компонентов этой угрозы, включая подозрительный процесс JavaScript и возможную эксфильтрацию данных с помощью Curl. Кроме того, Microsoft Defender Antivirus обнаруживает этот клипер как Trojan: Win32/CryptoBandits.A. Итог: Для защиты от этой угрозы важно регулярно обновлять антивирусное ПО и использовать защитные меры, такие как двухфакторная аутентификация и шифрование данных.Источник: Microsoft Security Blog
