Microsoft-riasztás: USB-meghajtókon terjedő „Crypto Clipper” lopja a kriptotárcák adatait
USB-n terjed a veszélyes kriptós malware
A Microsoft szerint a kártevő február óta fertőz Windows-alapú rendszereket. A malware egyik legveszélyesebb tulajdonsága, hogy nem csupán egyszerű adatlopóként működik, hanem féregkomponenst is tartalmaz, amely automatikusan továbbterjed USB-tárolóeszközökre.
A támadás során a kártevő elrejti a legitim fájlokat, majd azok helyére megtévesztő, hasonló nevű parancsikonokat helyez. A felhasználó azt hiheti, hogy a saját dokumentumát vagy mappáját nyitja meg, valójában azonban a malware-t indítja el. Ez különösen veszélyessé teszi vállalati környezetben, ahol az USB-meghajtók még mindig gyakran cserélnek gazdát.
Tárcacímeket cserél és seed phrase-eket keres
A Crypto Clipper elsődleges célpontjai a vágólapra másolt kriptovaluta-adatok. A malware nagy gyakorisággal figyeli a clipboard tartalmát, és olyan értékes pénzügyi adatokat keres, mint a BIP39 seed phrase-ek, Bitcoin- és Ethereum-privát kulcsok, valamint kriptotárca-címek.
A támadás egyik klasszikus, de rendkívül hatékony módszere a tárcacím-helyettesítés. Amikor az áldozat például Bitcoin-, Tron- vagy Monero-címet másol ki egy tranzakcióhoz, a kártevő azt észrevétlenül lecserélheti egy támadó által kontrollált címre. Így a felhasználó azt gondolhatja, hogy a megfelelő címre küldi az összeget, miközben a kriptó valójában a támadók tárcájába kerül.
Tor-hálózaton kommunikál a támadókkal
A Microsoft kutatói szerint a kártevő két elrejtett JavaScript-payloadot helyez el a Windows Dokumentumok mappájában, majd ütemezett feladatokat hoz létre a féreg- és adatlopó komponensek futtatására.
A malware emellett titokban telepíti a Tor egy példányát is a fertőzött gépre, majd azt „ugate.exe” néven álcázza. A Tor-hálózat használata lehetővé teszi, hogy a kártevő rejtett onion-címeken keresztül kommunikáljon az irányító szerverekkel. Ez jelentősen megnehezíti a támadók infrastruktúrájának felderítését és blokkolását.
Nem csak lop, hátsó ajtót is nyit
A Crypto Clipper azért különösen aggasztó, mert nem áll meg a kriptotárcák adatainak megszerzésénél. A Microsoft szerint backdoorként is működik, vagyis a támadók később tetszőleges kódot futtathatnak a fertőzött gépen.
Ez azt jelenti, hogy egy elsőre „csak” kriptolopásnak tűnő incidens könnyen tartós rendszerkompromittálódássá válhat. A támadók akár további malware-eket, kémprogramokat vagy zsarolóvírust is telepíthetnek az érintett eszközökre.
Microsoft Defender már felismeri a fenyegetést
A Microsoft Defender Antivirus a kártevőt Trojan:Win32/CryptoBandits.A néven azonosítja. A vállalat több védelmi lépést is javasol a felhasználóknak és rendszergazdáknak.
Érdemes letiltani az automatikus lejátszást a cserélhető adathordozókon, blokkolni az USB-meghajtókról indított .lnk fájlokat, valamint figyelni a gyanús proxytevékenységet és az ismeretlen szkriptek futását. A kriptovalutákkal dolgozó felhasználóknak különösen fontos, hogy minden tranzakció előtt manuálisan ellenőrizzék a beillesztett tárcacímet.
Egyre több Windowsos kriptolopó jelenik meg
A 2026-os év eddig komoly erősödést hozott a Windows-alapú crypto stealer malware-ek terjedésében. A hónap elején a Foresiet Threat Intel Team egy új, Lucid Stealer nevű kártevőt azonosított, amely böngészőbővítményeket és kriptotárcákat céloz.
A trend egyértelmű: a támadók egyre kifinomultabb módszerekkel próbálják megszerezni a kriptobefektetők privát kulcsait, seed phrase-eit és tranzakciós adatait. A felhasználói óvatosság, a naprakész vírusvédelem és a hardveres tárcák használata ma már nem kényelmi kérdés, hanem alapvető biztonsági követelmény.
