Stary trik z pendrive’em wraca. Teraz czyści portfele krypto

Pendrive'y dawno przestały być głównym nośnikiem plików – chmura i smartfony zepchnęły je po prostu na bok. Jednak wciąż potrafią napsuć krwi. Microsoft opisał właśnie kampanię złośliwego oprogramowania, które rozchodzi się przez USB, chowa pod pozorem zwykłych plików i poluje na dane związane z kryptowalutami: seed phrase, klucze prywatne, adresy portfeli. Podpinasz nośnik, a on po cichu przeszukuje, czy nie masz tam czegoś wartego kradzieży.

Jak to działa? Na pendrive’ie użytkownik widzi pliki, które wyglądają znajomo: dokument, arkusz, PDF. W rzeczywistości oryginały są ukrywane, a na ich miejscu pojawiają się skróty .lnk o tych samych nazwach. Człowiek klika więc coś, co wygląda jak normalny plik, ale system uruchamia przygotowany przez napastników łańcuch infekcji.

To stary numer jeszcze z czasów, gdy zainfekowany pendrive potrafił przejść przez całe biuro szybciej niż plotka przy ekspresie do kawy. Różnica polega na celu. Dawniej takie robaki często roznosiły losowy syf, botnety albo oprogramowanie szpiegujące. Teraz od razu szukają pieniędzy, i to takich, których po kradzieży zwykle nie da się odzyskać jednym telefonem do banku.

Malware nazwany Crypto Clipper działa od lutego 2026 r. i składa się z dwóch części. Pierwsza odpowiada za rozprzestrzenianie, czyli pilnuje, żeby infekcja przechodziła na kolejne nośniki USB. Druga kradnie dane związane z kryptowalutami. To połączenie robi różnicę, bo atak nie kończy się na jednym komputerze. Każdy kolejny pendrive może zostać zamieniony w przynętę.

Najgroźniejsza część ataku wcale nie rzuca się jakoś bardzo w oczy. Malware po prostu obserwuje schowek Windows, czyli miejsce, do którego trafia wszystko, co kopiujemy. W świecie kryptowalut to wyjątkowo łakomy kąsek, bo właśnie tam często lądują adresy portfeli, klucze prywatne i frazy odzyskiwania.

Crypto Clipper sprawdza schowek mniej więcej co pół sekundy. Jeśli wykryje frazę seed składającą się z 12 lub 24 słów, może ją wykraść. Seed phrase to awaryjny klucz do portfela kryptowalutowego. Kto go ma, ten może przejąć środki. Malware szuka też kluczy prywatnych oraz adresów portfeli.

Najbardziej podstępna w tym wszystkich jest chyba podmiana adresu. Użytkownik kopiuje adres odbiorcy przelewu krypto, ale złośliwe oprogramowanie wkleja w jego miejsce adres należący do przestępców. Jeśli ofiara nie sprawdzi całego ciągu znaków przed zatwierdzeniem transakcji, pieniądze lecą tam, gdzie chciał atakujący. I nie ma przycisku cofnij.

To nie jest już ten siermiężny wirus z czasów szkolnych pracowni komputerowych, który udawał zdjęcia z wakacji albo referat do historii. Crypto Clipper uruchamia przenośnego klienta Tor, ukrytego pod nazwą ugate.exe, i komunikuje się z serwerem dowodzenia przez ukrytą usługę .onion. Dzięki temu trudniej zobaczyć, dokąd naprawdę wypływają dane i kto steruje infekcją.

Sam malware potrafi też robić zrzuty ekranu. Sam adres portfela lub seed phrase to jedno, ale kontekst ekranu może pokazać napastnikowi, z jakim portfelem ma do czynienia, jakie są salda i co użytkownik właśnie próbuje zrobić. Microsoft wskazuje również na możliwość zdalnego uruchamiania kodu, więc infekcja może stać się czymś więcej, niż tylko złodziejem krypto.

Przeczytaj także:

Całość jest obudowana prostymi sztuczkami utrudniającymi analizę. Jeśli złośliwy skrypt wykryje Menedżera zadań, może zakończyć działanie. Komponenty są zaciemniane i odszyfrowywane dopiero podczas pracy. To nie musi być arcydzieło cyberprzestępczej inżynierii. Wystarczy, że opóźni reakcję i da czas na wyczyszczenie portfela.

*Grafika wprowadzająca wygenerowana przez AI