Clipper malware — это семейство вредоносного ПО, которое мониторит системный буфер обмена на наличие криптоадресов и, при обнаружении, незаметно заменяет адрес на адрес злоумышленника. Пользователь вставляет то, что считает "правильным адресом", подписывает транзакцию и отправляет средства злоумышленнику. Буфер обмена в 2026 году — одна из наименее защищённых поверхностей атак на потребительских Windows и Android.
Как работает на машине пользователя
Три компонента:
Фоновый процесс мониторинга буфера — легко написать в любом современном OS API. Работает непрерывно, низкая нагрузка на систему, никакой явной foreground-активности.
Распознаватель шаблонов адресов. Bitcoin-адреса совпадают с конкретными префиксами ("1", "3", "bc1"). Ethereum-адреса — 42-символьные hex-строки, начинающиеся с "0x". Вредонос использует regex, чтобы идентифицировать эти шаблоны в момент попадания в буфер.
Шаг замены. Обнаруженный адрес меняется на адрес злоумышленника из захардкоженного списка. Иногда злоумышленник поддерживает несколько адресов, чтобы блокировка была сложнее; иногда используют vanity-адреса, визуально похожие на распространённые места назначения.
Почему это сложно поймать
Пользователи обычно не перечитывают адрес после вставки. Дисциплинарное правило "всегда проверяй первые четыре и последние четыре символа" работает против этой атаки, но мало кто следует ему последовательно. Атака визуального сходства — vanity Bitcoin-адрес, начинающийся с "bc1qyourwallet..." для цели, копирующей "bc1qexpected..." — эксплуатирует именно этот лапс.
Clipper malware распространяется через пиратское ПО, фейковые browser-расширения, треснутые игровые установщики, и встроены в "треснутые" торговые боты более десяти лет. Текущая волна (Lumma Stealer, RedLine, Atomic Stealer) сочетает функционал clipper с кражей учётных данных.
Что защищает
Три операционных привычки:
Первое, верифицируйте адрес на экране аппаратного кошелька перед нажатием подтверждения. Аппаратный кошелёк отображает адрес назначения, полученный от компьютера-хоста — если clipper malware подменил адрес в буфере, подмена отражается в том, что dApp отправил аппаратному кошельку, и вы видите неправильный адрес на устройстве. Одна из центральных причин, почему "всегда читай экран" имеет значение.
Второе, предпочитайте QR-код передаче адреса через копирование-вставку, где возможно. QR кодирует адрес; нет шага буфера обмена для перехвата вредоносом. Большинство бирж и большинство аппаратных кошельков поддерживают QR-передачу адреса.
Третье, для высокоценных переводов (от 500 000 ₽), сделайте сначала маленькую тестовую транзакцию. Отправьте небольшую сумму, дождитесь подтверждения, проверьте, что пришло на нужный адрес, затем отправьте остальное. Это стоит вам двадцать минут и небольшую комиссию; устраняет clipper-риск для основной массы перевода.
Детекция на Windows и Android
Windows Defender ловит известные семейства clipper (Lumma, варианты RedLine) с обновлений середины 2024 года, но новые варианты проскальзывают неделями. Антивирусные приложения Android от Bitdefender, Kaspersky и Malwarebytes имеют схожие пробелы покрытия.
Реальная защита — выше по потоку: не устанавливать треснутое ПО, не доверять browser-расширениям вне магазинов крупных вендоров, не запускать executable из Telegram или Discord независимо от того, кто рекомендовал. Для российского холдера с существенной криптой выделенный "подписывающий компьютер" (чистый Linux-ноутбук, используемый только для криптотранзакций) устраняет всю поверхность угроз от вредоносного ПО — и это дешевле, чем потеря, которую он предотвращает.
Дополнительное чтение: Hot wallet, Фишинг, Экстренное восстановление при утечке ключа.