Clipboard hijacker: атака на буфер обмена и кража криптовалюты

Малвэр устанавливается на устройство жертвы — чаще всего через заражённый установщик ПО, пиратский контент или фишинговую ссылку. После запуска он работает в фоновом режиме и постоянно сканирует буфер обмена на паттерны, характерные для адресов криптокошельков: длинные строки из букв и цифр в форматах Bitcoin (1..., 3..., bc1...), Ethereum (0x...) и других сетей. При обнаружении такого адреса малвэр мгновенно заменяет его на адрес злоумышленника. Жертва видит правильный адрес при копировании и подменённый — при вставке, если не проверяет.

Адреса криптокошельков состоят из 26–62 символов в зависимости от сети. Человек физически не способен запомнить адрес и сравнить его посимвольно в момент вставки. Злоумышленники создают адреса, начинающиеся и заканчивающиеся теми же символами, что и оригинальный — так называемые «ванити-адреса». Беглый взгляд на начало и конец строки не выявляет подмены. Дополнительный фактор: сам процесс отправки транзакции требует концентрации на других параметрах (сеть, gas, сумма), и проверка адреса отходит на второй план.

Основные векторы заражения: пиратское программное обеспечение и кряки — наиболее распространённый канал; фейковые установщики популярных крипто-приложений (MetaMask, Exodus, Trust Wallet) с изменённым кодом; вредоносные расширения браузера, маскирующиеся под полезные инструменты; фишинговые письма с вложениями; торрент-файлы с вшитым малвэром. В 2024–2025 годах участились случаи распространения через GitHub-репозитории с поддельными «крипто-инструментами» и через Telegram-боты с «эксклюзивными» программами для трейдинга.

Базовая проверка: скопируйте любой крипто-адрес, откройте блокнот (не кошелёк) и вставьте — совпадает ли адрес с тем, что копировали? Повторите несколько раз подряд. Программная проверка: антивирусное сканирование специализированными инструментами (Malwarebytes, HitmanPro). Проверка процессов: в диспетчере задач Windows или Activity Monitor macOS ищите незнакомые процессы с высоким потреблением CPU без явной причины. Радикальный метод при подозрении на заражение: переустановка операционной системы с форматированием диска — полное удаление любого малвэра.

Транзакция в блокчейне необратима. После того как средства отправлены на адрес злоумышленника и транзакция подтверждена сетью — вернуть их технически невозможно. Мошенники, как правило, немедленно дробят и перемещают средства через миксеры или цепочки кошельков. Обращение в полицию РФ (МВД, отдел по киберпреступлениям) возможно и рекомендуется для создания прецедента, но практика возврата средств крайне редка. Единственная эффективная защита — превентивная: не допустить заражения и всегда верифицировать адрес перед подтверждением.

Потеря средств в результате кражи через малвэр не освобождает от налоговых обязательств по предыдущим операциям. Если до атаки были прибыльные сделки с криптовалютой — НДФЛ с них подлежит уплате в установленном порядке (13–15%). Украденные средства не являются расходом, уменьшающим налоговую базу, в рамках действующего законодательства РФ. Документирование факта кражи (заявление в МВД, распечатки транзакций) может быть полезно для налоговых споров, но механизм зачёта потерь от кражи крипто в РФ законодательно не закреплён.

Да, хотя реже, чем на Windows. На Android возможны вредоносные приложения с доступом к буферу обмена. На iOS доступ к буферу для фоновых приложений ограничен системой, что снижает риск. Основная масса атак приходится на Windows-устройства из-за более широкого распространения пиратского ПО.