Clipper malware — це сімейство шкідливого ПЗ, що моніторить системний буфер обміну на наявність криптоадрес і, при виявленні, непомітно замінює адресу на адресу зловмисника. Користувач вставляє те, що вважає "правильною адресою", підписує транзакцію і відправляє кошти зловмисникові. Буфер обміну в 2026 році — одна з найменш захищених поверхонь атак на споживчих Windows і Android.
Як працює на машині користувача
Три компоненти:
Фоновий процес моніторингу буфера — легко написати в будь-якому сучасному OS API. Працює безперервно, низьке навантаження на систему, ніякої явної foreground-активності.
Розпізнавач шаблонів адрес. Bitcoin-адреси збігаються з конкретними префіксами ("1", "3", "bc1"). Ethereum-адреси — 42-символьні hex-рядки, що починаються з "0x". Шкідник використовує regex, щоб ідентифікувати ці шаблони в момент попадання в буфер.
Крок заміни. Виявлена адреса змінюється на адресу зловмисника з захардкоженого списку. Іноді зловмисник підтримує декілька адрес, щоб блокування було складніше; іноді використовують vanity-адреси, візуально схожі на поширені місця призначення.
Чому це складно піймати
Користувачі зазвичай не перечитують адресу після вставки. Дисциплінарне правило "завжди перевіряй перші чотири і останні чотири символи" працює проти цієї атаки, але мало хто слідує йому послідовно. Атака візуальної схожості — vanity Bitcoin-адреса, що починається з "bc1qyourwallet..." для цілі, що копіює "bc1qexpected..." — експлуатує саме цю промашку.
Clipper malware поширюється через піратське ПЗ, фейкові browser-розширення, тріснуті ігрові установники, і вбудовані в "тріснуті" торгові боти понад десять років. Поточна хвиля (Lumma Stealer, RedLine, Atomic Stealer) поєднує функціонал clipper з крадіжкою облікових даних.
Що захищає
Три операційні звички:
Перше, верифікуйте адресу на екрані апаратного гаманця перед натисканням підтвердження. Апаратний гаманець відображає адресу призначення, отриману від хост-комп'ютера — якщо clipper malware підмінив адресу в буфері, підміна відображається в тому, що dApp відправив апаратному гаманцю, і ви бачите неправильну адресу на пристрої. Одна з центральних причин, чому "завжди читай екран" має значення.
Друге, віддавайте перевагу QR-коду передачі адреси через копіювання-вставку, де можливо. QR кодує адресу; немає кроку буфера обміну для перехоплення шкідником. Більшість бірж і більшість апаратних гаманців підтримують QR-передачу адреси.
Третє, для високоцінних переказів (від 200 000 ₴), зробіть спочатку маленьку тестову транзакцію. Відправте невелику суму, дочекайтеся підтвердження, перевірте, що прийшло на потрібну адресу, потім відправте решту. Це коштує вам двадцять хвилин і невелику комісію; усуває clipper-ризик для основної маси переказу.
Детекція на Windows і Android
Windows Defender ловить відомі сімейства clipper (Lumma, варіанти RedLine) з оновлень середини 2024 року, але нові варіанти прослизають тижнями. Антивірусні застосунки Android від Bitdefender, Kaspersky і Malwarebytes мають схожі прогалини покриття.
Реальний захист — вище за потоком: не встановлювати тріснуте ПЗ, не довіряти browser-розширенням поза магазинами великих вендорів, не запускати executable з Telegram або Discord незалежно від того, хто рекомендував. Для українського голдера з істотною криптою виділений "підписувальний комп'ютер" (чистий Linux-ноутбук, що використовується лише для криптотранзакцій) усуває всю поверхню загроз від шкідливого ПЗ — і це дешевше, ніж втрата, яку він запобігає.
Подальше читання: Hot wallet, Фішинг, Екстрене відновлення при витоку ключа.