Microsoft обнаружила новый кибер‑чиппер CryptoBandits, активный с февраля 2026 г., распространяющийся через заражённые USB‑накопители с LNK‑файлами. Вредонос следит за буфером обмена, крадёт seed‑фразы, приватные ключи и подменяет адреса криптокошельков, отправляя скриншоты через встроенный Tor‑клиент. Он копирует себя на новые флешки, создаёт задачи планировщика и может выполнять произвольный JavaScript‑код по команде C2‑сервера. Microsoft советует искать поведенческие индикаторы: запуск wscript/cscript, неожиданные PowerShell, cmd, curl и соединения с localhost:9050.
