Заражение начинается с активации LNK-файлов на съемных носителях. Вредоносный код разворачивается в системе, минуя классические командные центры: вместо них преступники задействуют локальный Tor-клиент и SOCKS5-прокси. Такой подход делает отслеживание сетевого трафика крайне сложной задачей, так как данные уходят через цепочку анонимных узлов.
Программа работает как шпионский инструмент, постоянно сканируя буфер обмена на наличие seed-фраз или адресов кошельков. Как только пользователь копирует нужную строку, скрипт мгновенно подменяет её на адрес злоумышленника. Параллельно с этим вирус делает серию снимков экрана, чтобы зафиксировать действия владельца ПК. В системе Microsoft Defender эта угроза детектируется как Trojan:Win32/CryptoBandits.A. Эксперты советуют обращать внимание на подозрительную активность PowerShell, использование прокси на порту 9050 и необъяснимые запуски скриптовых интерпретаторов, которые могут указывать на присутствие червя в системе.
Комментарии (0)
Пока нет комментариев. Будьте первым!