Microsoft повідомила, що Trojan:Win32/CryptoBandits.A належить до кампанії Windows-кліпера для криптовалют, яка активна з лютого 2026 року й поширюється через шкідливі USB-ярлики. Ризик практичний: користувач відкриває файл, який виглядає як звичайний документ, а система запускає хробак і кліпер, що стежить за буфером обміну, seed-фразами, приватними ключами та адресами криптогаманців.
Це не просто черговий криптокліпер. У звіті Microsoft згадані заплановані завдання для закріплення, JavaScript-пейлоади у C:\Users\Public\Documents, перейменований Tor-бінарник ugate.exe, локальний SOCKS5-проксі на localhost:9050, створення скриншотів через PowerShell і виконання коду з прихованого командного сервера. Тому після спрацювання недостатньо видалити один підозрілий ярлик.
Хто під ризиком
Насамперед це користувачі Windows, які відкривали файли з невідомого USB-накопичувача, спільного офісного диска, кіоску, пакета з криптоінструментом або документа-ярлика, а потім працювали з криптогаманцем на тому самому ПК. Ланцюжок обманний: шкідник може приховати оригінальні документи та створити .lnk-ярлики з такими самими назвами.
Якщо Microsoft Defender показує Trojan:Win32/CryptoBandits.A, Trojan:Win32/CryptoBandits.B, Trojan:JS/CryptoBandits.A або Trojan:JS/CryptoBandits.B, сприймайте це як активний інцидент, а не як випадкове попередження.
Що робить CryptoBandits
| Ознака | Чому це важливо |
|---|---|
Шкідливі .lnk на USB-носії | Ярлик може запускати пейлоад, хоча виглядає як документ. |
C:\Users\Public\Documents\ і випадкові п’ятисимвольні папки | Microsoft спостерігала там розшифровані JavaScript-пейлоади. |
ugate.exe і localhost:9050 | Кампанія використовує вбудований Tor-клієнт і локальний SOCKS5-проксі для прихованого зв’язку. |
| Заплановані завдання зі скриптами | Закріплення може пережити перезавантаження та знову запускати хробак або кліпер. |
| Адреса гаманця змінюється після копіювання | Кліпер може підмінити адресу одержувача перед відправленням коштів. |
Що перевірити спочатку
- Не надсилайте криптовалюту з підозрілого ПК, доки адресу гаманця не перевірено на чистому пристрої.
- Від’єднайте невідомі USB-накопичувачі та не використовуйте спільні носії до сканування.
- Перегляньте Планувальник завдань Windows і шукайте нові завдання, які запускають JavaScript, WScript, PowerShell,
cmd.exeабо файли з публічних папок. - Перевірте наявність несподіваного
ugate.exe, Tor-папок, прихованих JavaScript-файлів і випадкових підпапок уC:\Users\Public\Documents. - Шукайте активність локального проксі
127.0.0.1:9050абоlocalhost:9050, якщо Tor Browser або дозволений Tor-сервіс не встановлювався. - Якщо USB-накопичувач раптово показує ярлики замість документів, не відкривайте їх і порівняйте ситуацію з випадками USB-хробаків, наприклад LitterDrifter.
Що робити після спрацювання CryptoBandits
Дозвольте Microsoft Defender ізолювати знайдене, але не вважайте інцидент завершеним, якщо ярлик уже відкривали. Видиме спрацювання може прибрати один компонент, тоді як заплановане завдання, скрипт, виключення Defender, прихований Tor-бінарник або заражений USB-ярлик знову запустить активність після перезавантаження.
- Тримайте підозрілий USB-носій від’єднаним, доки Windows-система не очищена.
- Запустіть повне сканування Microsoft Defender і перегляньте історію захисту на CryptoBandits, JavaScript, curl, PowerShell або виключення.
- Запустіть повне сканування Gridinsoft Anti-Malware, щоб перевірити приховані файли, заплановані завдання, автозапуск, зміни браузера та інші механізми закріплення.
- Перезавантажте ПК і повторіть перевірку, якщо попередження повертається.
- З чистого пристрою змініть паролі до гаманців, бірж, пошти та менеджера паролів. Відкличте активні сесії та API-ключі, де це можливо.
- Для переказів, зроблених під час можливого зараження, звірте заплановану адресу з фактичною адресою у транзакції.
[gs_cta variant=”suspicious_process” campaign=”cryptobandits_usb_clipper_ua” button=”Перевірити ПК на залишки CryptoBandits”]
Чим це відрізняється від звичайного кліпера
Звичайний кліпер часто лише підміняє скопійовану адресу гаманця. CryptoBandits додає USB-поширення, закріплення через Планувальник завдань, Tor-трафік, збирання скриншотів і виконання команд. Схожі ланцюжки фейкових завантажень та крадіжки криптоактивів ми також розбирали у матеріалах про Deno RAT у фейкових завантаженнях і Cryptbot під виглядом KMSPico.
Як зменшити ризик
- Вимкніть AutoPlay для змінних носіїв і показуйте розширення файлів у Провіднику.
- Не відкривайте документи-ярлики з USB, якщо не можете перевірити джерело та справжній файл.
- Оновлюйте Defender та інші захисні інструменти й не відновлюйте виключення, створені невідомими скриптами.
- Перед відправленням коштів перевіряйте криптоадресу на другому довіреному екрані.
- Для великих сум використовуйте апаратний гаманець або процес підтвердження, який показує адресу незалежно від потенційно зараженого ПК.
FAQ
Trojan:Win32/CryptoBandits.A може бути хибним спрацюванням?
Наразі немає публічних ознак, що це масове хибне спрацювання. Microsoft описує CryptoBandits як Windows-кліпер із USB-поширенням, Tor-зв’язком і крадіжкою адрес гаманців.
Чи може CryptoBandits вкрасти кошти без пароля від гаманця?
Так. Кліперу достатньо підмінити адресу одержувача після копіювання. Крім того, кампанія орієнтується на seed-фрази, приватні ключі та скриншоти, тому зміна паролів не закриває весь ризик.
Чи потрібно форматувати USB-накопичувач?
Якщо на ньому є шкідливі ярлики або приховані оригінали, збережіть лише перевірені особисті документи з чистого пристрою, проскануйте носій і відформатуйте його після резервної копії. Не переносіть назад ярлики, скрипти, архіви, інсталятори або невідомі папки.
Джерело
- Microsoft Defender Security Research Team and Microsoft Defender Experts. “Crypto Clipper uses Tor and worm-like propagation for persistence and control.” Microsoft Security Blog, 17 червня 2026 року, переглянуто 18 червня 2026 року. https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/
