Microsoft Threat Intelligence och Microsoft Defender-experter har nyligen upptäckt en sofistikerad Windows-baserad kryptovaluta-clipper som visat sig vara aktiv sedan februari 2026. Malware, klassificerad som Trojan:Win32/CryptoBandits.A, utgör en allvarlig risk för användare och organisationer som använder kryptovalutor.

Denna clipper, som kombinerar en worm-komponent för spridning med en stöldkomponent för finansiella data, sprids genom USB-flash-enheter. Inbäddade i dessa flash-enheter hittar man skadliga genvägar (.lnk-filer). När en användare klickar på dessa genvägar så ladda de ner och startar en dold maskrot istället för en dokumentfil. Denna maskrot gör därefter en kopia av de ursprungliga filerna från USB-enheten och skapar matchande, skadliga genvägar för att lura fler användare. För att undvika detektion, konfigurerar den Windows Defender-undantag för att kringgå skanningar i sina installationsmappar. Den droppar sedan sina primära filer – inklusive två dolda JavaScript-filer – till en mapp under C:\Users\Public\Documents och ställer sedan in automatiska bakgrundsuppgifter för att fortsätta infektera nya USB-enheter som ansluts till datorn.

En särskilt oroande aspekt av denna clipper är att den inte förlitar sig på traditionella installatörer. Istället använder den standardinbyggda Windows-skriptverktyg (WScript och ActiveXObject) för att interagera direkt med operativsystemet. Detta möjliggör för den att köra tyst i datorns minne och skanna klistrarna var 500 millisekunder för att upptäcka privata kryptovaluta-nycklar och 12 eller 24-tecknasamseedfraser.

När en användare kopierar en kryptovalvållaadress, ersätter den omedelbart med angriparens adress. Forskare noterade att malware’s byter ut systemet riktar sig till specifika walletformat, inklusive:

• Monero (startar med 4 eller 8): Ersattes med en enskild fast adress.
• Tron (startar med T) ersattes genom att matcha de första två tecknen.
• Bitcoin Taproot (startar med bc1p) och Bech32 (startar med bc1q) ersattes genom att matcha det sista tecknet.
• Bitcoin Legacy (startar med 1) och P2SH (startar med 3) ersattes med en adress som matchar de första två tecknen.

Programmet tar också fem skärmdumpar, tio sekunder apart, för att ge angripare möjlighet att titta på användarens walletbalanser. För att avskräcka angripare använder malwaren, också, ett Tor-verktyg, för att dölja sin kommunikation. Malware samlar in och skickar data via tre specifika endpoints för att samla in information och stänga ner den.

För att skydda system rekommenderar Microsoft att inaktivera AutoPlay för borttagbart media, blockera .lnk-körningar från USBs och dubbelkolla wallet-adresser innan transaktioner. Detta är ett viktigt steg för att minska risken för attack.