Un simplu stick USB îți poate goli portofelul crypto: malware-ul care schimbă adresele de plată fără să observi
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2025/12/hacker-crypto-1-scaled.jpg)
Un stick USB primit de la cineva, lăsat într-un calculator comun sau folosit pentru mutarea unor documente poate deveni o capcană costisitoare pentru utilizatorii de criptomonede. O nouă campanie de malware pentru Windows se răspândește prin fișiere de tip shortcut, cunoscute după extensia .LNK, și poate înlocui în tăcere adresele de portofel crypto copiate în clipboard.
Pericolul nu se rezumă la un simplu furt de date, conform Microsoft. Malware-ul funcționează ca un vierme informatic: odată ajuns pe un PC, se poate copia automat pe alte stickuri USB conectate ulterior, transformând documentele obișnuite în scurtături malițioase cu nume identice. În acest fel, victima poate deschide ceea ce pare a fi un fișier familiar, fără să își dea seama că, de fapt, pornește programul atacatorilor.
Cum transformă fișierele obișnuite în capcane
Atacul începe în momentul în care utilizatorul deschide un fișier shortcut malițios de pe un dispozitiv USB. În loc să fie doar o legătură către un document, fișierul .LNK pornește codul malware și descarcă alte componente de pe internet, prin rețeaua Tor. Această metodă le permite atacatorilor să își ascundă mai bine infrastructura și să îngreuneze identificarea serverelor folosite pentru controlul calculatoarelor compromise.
După infectare, malware-ul caută documente pe PC, le ascunde și creează în locul lor shortcuturi cu aceleași denumiri. Pentru utilizator, diferența poate fi greu de observat: fișierul poate avea un nume cunoscut, precum „Factură”, „Contract” sau „Poze vacanță”, însă deschiderea lui activează codul malițios. Apoi, programul creează sarcini automate în Windows și urmărește conectarea altor medii de stocare USB, pe care încearcă să se copieze.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/f47455b99d656963ff9f9fb5109d5ee8-t.jpg)
Această tehnică nu este nouă în lumea atacurilor informatice, însă combinația dintre propagarea prin stickuri, furtul de criptomonede și folosirea Tor face campania deosebit de periculoasă. Un singur calculator infectat poate compromite, în timp, mai multe dispozitive externe și poate duce malware-ul în alte calculatoare, inclusiv în birouri sau acasă.
Adresele crypto pot fi schimbate în clipboard
Componenta principală a amenințării este un aşa-numit „clipper”, un malware care urmărește constant conținutul clipboardului. Atunci când copiezi o adresă de portofel crypto pentru a trimite bani, programul poate detecta formatul adresei și o poate înlocui instantaneu cu una controlată de atacatori. La prima vedere, adresa poate părea asemănătoare, deoarece infractorii aleg variante care au aceleași caractere de început sau alte elemente vizuale apropiate.
Malware-ul urmărește mai multe tipuri de date sensibile: expresii de recuperare BIP39 cu 12 sau 24 de cuvinte, chei private Ethereum, chei Bitcoin și adrese pentru Bitcoin, Ethereum, Tron sau Monero. Practic, atacatorii nu se limitează la deturnarea unei singure tranzacții, ci caută și informații care le-ar putea oferi controlul complet asupra portofelului digital.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/hacker-cropped-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/malware-android-316x158.jpg)
În plus, amenințarea poate face capturi de ecran la intervale regulate și le trimite către serverele de comandă și control prin Tor. Cercetătorii au observat și o funcție prin care atacatorii pot transmite cod JavaScript pentru a fi executat de la distanță pe calculatorul infectat. Asta înseamnă că infectarea poate evolua dincolo de furtul de crypto, spre acces neautorizat mai larg la datele și activitatea de pe PC.
Ce semne ar trebui să îți ridice suspiciuni
Un prim indiciu este apariția neașteptată a shortcuturilor în locul documentelor originale de pe un stick USB. Fișierele par să fi dispărut, dar pot fi doar ascunse, iar în locul lor să existe legături cu nume identice. Nu deschide astfel de fișiere înainte să verifici extensia reală și să scanezi dispozitivul cu o soluție de securitate actualizată.
Merită să fii atent și la comportamente neobișnuite în Windows: lansări inexplicabile de PowerShell, Command Prompt, WScript sau curl, activitate Tor pe calculator deși nu folosești acest serviciu, precum și sarcini programate recent create. Microsoft recomandă monitorizarea conexiunilor către localhost:9050, un port asociat frecvent cu proxy-ul Tor în această campanie.
Cea mai simplă regulă rămâne și cea mai eficientă: nu trimite criptomonede imediat după ce ai copiat o adresă. Verifică manual începutul, finalul și, ideal, întreaga adresă înainte să confirmi tranzacția. Dacă ai deschis un shortcut suspect de pe un stick USB, deconectează dispozitivul, rulează o scanare completă și evită să folosești același calculator pentru accesarea portofelelor crypto până când ești sigur că sistemul este curat.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/6cbe1fd5ad06948332df5d55e04a7ba7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/9e3ae1a10b3baece4e1b5d8930ae9afd-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/07e90f7935d78d1c0ac3bd4fb57e8a81-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/b3036f55857d629b0b93c195918fc4f2-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/313837f82f08aa408040c103b51b25e7-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/12d157249ba84dd488ac2ed1aea12e57-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/5b3ff70040eee659d8755126955a1de0-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/descoperire-arheologica-baicoi.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2025/11/amenda-politie.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-1087721045.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Pensiile-cresc-in-Bulgaria-de-la-1-iulie.-Romanii-care-au-muncit-peste-granita-pot-beneficia-de-majorare.webp)