bitcoin.pl logo
BTC+1.12%
Bitcoin
$63,977237 450 zł
Cyberbezpieczeństwo
2026-06-21
3 min czytania

Microsoft alarmuje: wirus z pendrive'a kradnie krypto. Był niewykryty przez 4 miesiące

Michał Nalewajko
Michał NalewajkoRedaktor Bitcoin.pl
Futures03.25-PL_Images_728x90_04_v1b
Kluczowe wnioski:
  • Microsoft ujawnił wirusa Trojan:Win32/CryptoBandits, który aktywnie kradnie kryptowaluty od lutego 2026
  • Robak monitoruje schowek systemowy co 500 ms i podmienia adresy portfeli BTC i ETH tuż przed wysłaniem transakcji - bez żadnego ostrzeżenia na ekranie
  • Wirus szerzy się przez zainfekowane pendrive'y, zastępując pliki Word, Excel i PDF złośliwymi skrótami o tych samych nazwach
  • Poza kradzieżą działa też jako backdoor, dając atakującemu długoterminowy dostęp do zainfekowanego komputera
Wklejasz adres portfela, klikasz "wyślij" i czekasz na potwierdzenie. Transakcja leci, ale pod właściwy adres? Nowy wirus odkryty przez Microsoft od miesięcy podmienia adresy w schowku tuż przed wysłaniem przelewu. Nie słyszysz żadnego alarmu. Nie widzisz żadnej zmiany. Bitcoiny po prostu trafiają gdzie indziej.

Jak wirus trafia na Twój komputer

Wszystko zaczyna się od pendrive'a. Ktoś podłącza zainfekowany dysk USB do komputera i klika na plik wyglądający jak dokument Word albo folder. W rzeczywistości to złośliwy skrót z rozszerzeniem .lnk, czyli plik systemowy wskazujący na inny program, charakterystyczny dla Windows. Jedno kliknięcie instaluje trojana, który od tej chwili działa w tle bez żadnych widocznych oznak.
Microsoft ujawnił szczegóły w blogu bezpieczeństwa 17 czerwca. Firma identyfikuje wirusa jako Trojan:Win32/CryptoBandits i klasyfikuje go jako "crypto clipper", czyli złodziej schowka. Aktywny jest co najmniej od lutego 2026 - przez niemal cztery miesiące działał bez publicznego ostrzeżenia.

Podmiana adresu w 500 milisekund

Po instalacji wirus robi dwie rzeczy jednocześnie. Co 500 milisekund sprawdza zawartość schowka systemowego, czyli tymczasowej pamięci używanej przy operacji kopiuj i wklej. Jeśli wykryje seed phrase (zestaw słów służących do odtworzenia portfela), klucz prywatny albo adres docelowy transakcji, natychmiast wysyła przechwycone dane do atakującego przez sieć Tor, czyli anonimową warstwę internetu utrudniającą śledzenie. Przy okazji robi pięć zrzutów ekranu w odstępach dziesięciu sekund.
Groźniejszy jest drugi mechanizm. Jeśli skopiujesz adres portfela, żeby go wkleić do pola docelowego transakcji, wirus podmienia go w schowku na własny adres atakującego, zanim zdążysz nacisnąć "wklej". Interfejs portfela wygląda normalnie, wklejony adres wydaje się znajomy, klikasz wyślij i środki trafiają do złodzieja.
Uważam, że to jeden z najbardziej perfidnych mechanizmów kradzieży krypto, bo nie wymaga żadnej ingerencji ofiary po pierwszym kliknięciu. Jedna pomyłka przy pendrivie, a każda kolejna transakcja jest potencjalnie zagrożona. Ponadto Microsoft zaznacza, że wirus funkcjonuje też jako backdoor, czyli otwiera atakującemu stały, długoterminowy dostęp do zainfekowanego komputera - kradzież portfela to dopiero pierwszy krok.

Wirus zarazi też Twoje pendrive'y

Sprytna część tego wirusa to zdolność do rozprzestrzeniania się dalej. Kiedy podłączysz do zainfekowanego komputera własny, czysty pendrive, wirus skanuje dysk i zastępuje wszystkie znalezione pliki złośliwymi skrótami o dokładnie tych samych nazwach. Twój dokument "projekt_budżet.docx" znika, a na jego miejscu pojawia się plik "projekt_budżet.docx" wyglądający identycznie, ale z rozszerzeniem .lnk ukrytym przez Windows. Przekazujesz pendrive współpracownikowi albo znajomemu, a ten klika i cykl się powtarza.
To tłumaczy, dlaczego wirus działał cztery miesiące bez wykrycia: każdy zainfekowany pendrive staje się nowym wektorem infekcji, nie wymagającym żadnej sieci ani pobierania pliku z internetu.

Jak się chronić

Microsoft podaje cztery konkretne środki. Wyłącz AutoRun dla nośników wymiennych, czyli automatyczne uruchamianie programów po podłączeniu pendrive'a - to ustawienie znajdziesz w zasadach grupy Windows lub w Centrum zabezpieczeń. Zablokuj uruchamianie plików .lnk z nośników USB przez zasady grupy. Ogranicz działanie hostów skryptów wscript.exe i cscript.exe, jeśli nie są Ci potrzebne do codziennej pracy. Użytkownicy Microsoft Defender mogą uruchomić zapytania huntingowe i sprawdzić, czy system nawiązuje połączenia z lokalnym proxy Tor na porcie 9050.
Moja dodatkowa rada: przed każdym wysłaniem transakcji porównaj wklejony adres z oryginałem znak po znaku, przynajmniej cztery pierwsze i cztery ostatnie. Lepiej korzystać z cold walletów, takich jak Trezor lub Ledger, które wyświetlają adres docelowy na własnym ekranie i nie operują na schowku systemowym. To jedyna warstwa ochrony, której ten wirus nie może ominąć.

Co to znaczy dla Ciebie

Jeśli używasz Bitcoina lub Ethereum na komputerze z Windows i zdarza Ci się podłączać pendrive'y, ten wirus dotyczy Cię bezpośrednio. Ryzyko rośnie wszędzie tam, gdzie dyski USB krążą między ludźmi: w biurach, przy drukarkach, podczas udostępniania plików znajomym.
Aktualizacja definicji Microsoft Defender powinna zawierać sygnaturę Trojan:Win32/CryptoBandits po ogłoszeniu z 17 czerwca - zaktualizuj ją teraz, nie czekając na kolejny cykl automatyczny. I sprawdź, czy AutoRun jest wyłączony. To zajmuje 30 sekund i może ochronić Twoje krypto aktywa.
#atak hakerski#cyberbezpieczeństwo#cyberprzestępczość#hakerzy

O autorze

Michał Nalewajko
Michał Nalewajko

Interesuję się nowymi technologiami, kryptowalutami i AI. Nie uważam, że "kiedyś to było", tylko że "kiedyś to będzie" ;) W wolnym czasie podróżuję, gram w planszówki i gry wideo.

Chcesz być na bieżąco? Zaobserwuj nas w
Google News
Obserwuj

Newsletter Bitcoin.pl

Najważniejsze newsy i insiderskie informacje prosto na Twój email.

Dbamy o ochronę Twoich danych. Polityka Prywatności

BITCOIN.PL SZUKA REDAKTORÓW! ZAINTERESOWANY? ZGŁOŚ SIĘ DO NAS! :)