Microsoft upozornil uživatele Windows na novou vlnu malwaru zaměřeného na kryptoměny, který se šíří prostřednictvím USB zařízení. Podle firmy nejde jen o běžný nástroj na krádež dat z clipboardu, ale o sofistikovanější hrozbu, která kombinuje krádež citlivých údajů s možností vzdáleného spouštění kódu. Útočníci tak mohou nejen odklánět kryptoměnové transakce, ale zároveň si na napadeném zařízení vytvořit trvalý přístup.
Malware cílí na uživatele Windows od února
Podle výzkumníků z Microsoft Threat Intelligence je tato malwarová kampaň aktivní nejméně od února 2026. Škodlivý software spadá do kategorie takzvaných crypto clipperů, tedy programů, které sledují obsah schránky a při kopírování kryptoměnových adres je nahrazují adresami pod kontrolou útočníka. V tomto případě je však funkčnost širší a zahrnuje také odcizování přihlašovacích a peněženkových údajů. Microsoft uvedl, že malware využívá časté odchytávání obsahu schránky, pořizování screenshotů a nahrazování adres peněženek.
Kromě toho se malware snaží zůstat na systému co nejdéle bez odhalení. Legitimizuje se tím, že skryje skutečné soubory a nahradí je zástupci, které vypadají důvěryhodně. Oběť tak může nevědomky spustit škodlivý kód při běžné práci se soubory. Součástí kampaně je i červí mechanismus, který umožňuje automatické šíření na další USB úložiště připojená k napadenému počítači.
Nejde jen o krádež, ale i o zadní vrátka do systému
Zásadní rozdíl oproti jednodušším stealerům spočívá v tom, že tento malware nefunguje pouze jako nástroj pro krádež informací. Microsoft upozorňuje, že plní také roli lehkého backdooru, tedy zadních vrátek, přes která mohou útočníci na dálku doručovat a spouštět další kód. To znamená, že kompromitovaný počítač nemusí sloužit jen k jednorázové krádeži kryptoměn, ale může se stát vstupním bodem pro další útoky včetně ransomwaru.
Právě tato kombinace zvyšuje nebezpečnost celé hrozby. Útočníci mohou okamžitě monetizovat přístup například záměnou peněženkové adresy při převodu krypta, a zároveň si ponechat dlouhodobou kontrolu nad zařízením. Microsoft v této souvislosti zdůraznil, že i relativně lehké skriptové malware varianty mohou mít výrazný dopad, pokud využívají anonymizovanou komunikaci a dostávají instrukce za běhu.
Tor pomáhá skrýt komunikaci s útočníky
Analýza ukázala, že malware nasazuje do adresáře Dokumenty ve Windows dva obfuskované JavaScriptové payloady. Současně vytváří naplánované úlohy pro komponentu červa i samotný stealer, aby zajistil perzistenci po restartu systému. Tento přístup pomáhá útočníkům udržet malware aktivní bez potřeby nápadné instalace klasického programu.
Dalším důležitým prvkem je skrytá instalace sítě Tor. Malware do počítače oběti uloží kopii Toru, ale přejmenuje ji na ugate.exe, aby soubor nepůsobil podezřele. Přes síť Tor se pak připojuje k operátorům malwaru na skrytých onion adresách. Komunikace přes Tor útočníkům poskytuje vyšší anonymitu a ztěžuje detekci i blokování jejich infrastruktury.
Microsoft upozornil, že právě spojení řídicí komunikace přes Tor, sledování schránky, pořizování screenshotů a vzdáleného spouštění kódu dává útočníkům silnou kombinaci okamžitého zisku i dlouhodobé kontroly nad napadenými zařízeními. Z pohledu obrany je navíc podstatné, že malware nespoléhá na tradiční instalační mechanismy ani na snadno dohledatelnou IP infrastrukturu. To celé komplikuje jeho odhalení v podnikových i domácích sítích.
Na mušce jsou seed fráze i privátní klíče
Crypto clipper se podle Microsoftu zaměřuje na vysoce hodnotná finanční data zachycená ve schránce. Patří mezi ně zejména BIP39 seed fráze, privátní klíče k Bitcoinu a Ethereu a další citlivé údaje související se správou kryptoměnových peněženek. Pokud uživatel takové informace kopíruje mezi aplikacemi, malware je může zachytit a odeslat útočníkům.
Vedle toho software aktivně nahrazuje zkopírované adresy peněženek adresami kontrolovanými útočníkem. Microsoft konkrétně uvedl, že terčem jsou adresy pro Bitcoin, Tron a Monero. Uživatel si pak může myslet, že odesílá prostředky na správné místo, ale transakce ve skutečnosti odejde jinam. Aby útočníci získali širší kontext o aktivitě oběti, malware navíc pořizuje screenshoty v desetisekundových intervalech.
Tato metoda je zvlášť nebezpečná proto, že nevyžaduje prolomení samotné blockchainové sítě ani kompromitaci privátních klíčů přímo v peněžence. Stačí, aby uživatel zkopíroval adresu nebo citlivý údaj do schránky. Právě jednoduchost útoku z něj dělá účinný nástroj proti méně opatrným uživatelům i proti lidem, kteří běžně pracují s více peněženkami a adresami.
Detekce a doporučení pro obranu
Microsoft Defender Antivirus tuto hrozbu detekuje pod označením Trojan:Win32/CryptoBandits.A. Firma zároveň doporučila několik základních obranných kroků, které mohou riziko významně snížit. Mezi nimi je vypnutí automatického přehrávání u vyměnitelných médií, blokování spouštění souborů typu .lnk z USB zařízení a monitorování podezřelé proxy aktivity či skriptů spouštěných na pozadí.
Pro uživatele kryptoměn z toho plyne i několik praktických zásad. Před odesláním transakce je vhodné vždy ručně zkontrolovat cílovou adresu, ideálně porovnáním prvních i posledních znaků. Citlivé údaje jako seed fráze nebo privátní klíče by se neměly ukládat ani kopírovat v nezašifrované podobě do běžného systému. Vyšší úroveň bezpečnosti poskytují hardwarové peněženky a oddělená zařízení určená pouze pro práci s kryptoměnami.
Rok 2026 přináší nárůst kryptoměnových stealerů pro Windows
Microsoft zároveň upozornil, že nejde o izolovaný incident, ale o součást širšího trendu. Rok 2026 podle dostupných zjištění přinesl výrazné zesílení aktivit kolem kryptoměnových stealerů pro Windows. Začátkem měsíce bezpečnostní tým Foresiet popsal také nový malware Lucid Stealer, který se zaměřuje na rozšíření prohlížečů a kryptoměnové peněženky.
To potvrzuje, že útočníci stále častěji hledají cesty, jak obejít tradiční bezpečnostní návyky uživatelů a soustředit se přímo na prostředí, kde se pracuje s digitálními aktivy. Kryptoměny zůstávají pro kyberzločince atraktivním cílem, protože transakce jsou nevratné a odcizené prostředky se často obtížně dohledávají. Právě proto roste význam prevence, pečlivé kontroly transakcí a bezpečného zacházení s peněženkovými údaji.
