Nagbabala ang Microsoft tungkol sa CryptoBandits.A, isang Tor-based Windows clipper na nagnanakaw ng data ng wallet at humaharang sa mga crypto transfer.
Nagbabala ang Microsoft tungkol sa isang Windows-based na crypto clipper na dinisenyo upang magnakaw ng data ng wallet at baguhin ang mga crypto transfer.
Ang malware ay naapektuhan ang mga gumagamit mula noong Pebrero 2026, ayon sa Microsoft Threat Intelligence at Microsoft Defender Experts.
Ang kampanya ay gumagamit ng mga malisyosong .lnk shortcut at USB drive upang kumalat sa mga nakompromisong Windows device.
Nakikita ng Microsoft Defender Antivirus ang banta bilang Trojan:Win32/CryptoBandits.A, habang ang Defender for Endpoint ay nagmamarka ng kaugnay na aktibidad.
Gumagamit ng Tor ang Malware upang Itago ang mga Command Server
Sinabi ng Microsoft na inilulunsad ang malware sa pamamagitan ng Windows Script Host at ActiveX-based na mga utos pagkatapos buksan ng isang gumagamit ang isang malisyosong shortcut.
Pagkatapos ay sinisimulan ng script ang isang pinalitan ng pangalan na Tor file na tinatawag na ugate.exe sa isang nakatagong window. Pagkatapos mag-load ng Tor, nakikipag-ugnayan ang malware sa mga hidden-service command server sa pamamagitan ng isang lokal na proxy.
Iniiwasan ng pamamaraang ito ang paggamit ng nakalantad na IP-based command infrastructure, na nagpapahirap sa pagsubaybay para sa mga tagapagtanggol.
Iniruruta ng malware ang trapiko sa pamamagitan ng localhost:9050, na karaniwang nakaugnay sa aktibidad ng Tor SOCKS5 proxy. Inilarawan ng Microsoft ang pag-uugaling ito bilang isang malakas na senyales ng babala para sa mga security team.
Microsoft Warns of Tor-Based Crypto Clipper Targeting Wallet Data
Microsoft Threat Intelligence and Microsoft Defender Experts said they identified a Windows-based crypto clipper that has affected users since February 2026. The malware spreads via malicious .lnk shortcuts and⦠pic.twitter.com/tDZ6CNg322
— Wu Blockchain (@WuBlockchain) June 19, 2026
Lumilikha rin ang clipper ng victim ID bago irehistro ang nahawaang device sa command server nito.
Ang koneksyong iyon ay nagpapahintulot sa attacker na magpadala ng mga tagubilin at makatanggap ng ninakaw na data. Bilang resulta, ang tool ay gumagana bilang parehong crypto stealer at isang maliit na remote access backdoor.
Tinatarget ng Clipper ang mga Wallet Address at Key
Sinusubaybayan ng malware ang aktibidad ng clipboard sa mataas na rate upang mahanap ang mga crypto wallet address at iba pang mahalagang data.
Kapag kinopya ng isang gumagamit ang isang wallet address, maaaring palitan ito ng clipper ng isang address na kontrolado ng attacker. Maaari nitong i-redirect ang isang transfer bago mapansin ng gumagamit ang pagbabago.
Sinabi ng Microsoft na maaari ring magnakaw ang malware ng mga seed phrase, private key, at iba pang impormasyon na may kaugnayan sa wallet.
Ang mga detalyeng ito ay maaaring magbigay sa mga attacker ng access sa mga pondong nakaimbak sa mga apektadong crypto wallet. Maaari ring kumuha ng mga screenshot ang malware at ipadala ang mga ito sa command server nito.
Kasama sa banta ang isang anti-analysis check na naghahanap ng Task Manager sa nahawaang system.
Kapag nakita ang Task Manager, maaaring huminto ang script sa pagtakbo upang maiwasan ang pagsusuri. Ang tampok na ito ay maaaring magpahirap sa manu-manong pagsisiyasat sa mga unang pagsusuri.
Basahin Din:
https://www.livebitcoinnews.com/hackers-secretly-target-crypto-developers-with-dangerous-trapdoor-malware/
Nagpapataas ng Panganib sa Enterprise ang Pagkalat sa USB
Sinabi ng Microsoft na kasama sa kampanya ang isang worm na component na tumutulong sa malware na kumalat sa pamamagitan ng mga nakompromisong device.
Lumilikha ang worm ng mga malisyosong shortcut na gumagaya sa mga lehitimong file na matatagpuan sa system. Maaari rin itong gumamit ng mga USB drive upang lumipat sa pagitan ng mga makina.
Nagdaragdag ang malware ng mga naka-iskedyul na gawain upang mapanatili ang pagpapatupad at pagpapatuloy pagkatapos ng impeksyon.
Naghahatid din ito ng mga file-based payload at sinusubukang i-exclude ang mga ito mula sa pag-scan ng Defender. Ang mga hakbang na ito ay tumutulong sa malware na manatiling aktibo pagkatapos mag-restart ang isang device.
Para sa mga tagapagtanggol, itinuro ng Microsoft ang mga signal na batay sa pag-uugali bilang pinakamalinaw na landas ng pagtuklas.
Kabilang dito ang mga script interpreter na naglulunsad ng mga hindi pangkaraniwang child process at PowerShell na mga utos na nauugnay sa pagkuha ng screen.
Ang pagsisiyasat sa clipboard, pagpapalit ng crypto-address, curl-based exfiltration, at paggamit ng Tor proxy ay mga pangunahing senyales din.
Dumarating ang babala habang patuloy na umaasa ang mga crypto user sa mga kinopyang wallet address para sa mga transfer.
Pinayuhan ng Microsoft ang pansin sa pag-uugali ng endpoint, mga removable drive, at kahina-hinalang aktibidad ng shortcut.
Ipinapakita ng kampanya kung paano maaaring makuha ang mga wallet transfer sa pamamagitan ng mga karaniwang feature ng Windows at mga aksyon ng gumagamit.
Mag-iwan ng Tugon