科技公司 Microsoft微軟 據報道,微軟發現了一種基於 Windows 的加密貨幣剪貼簿惡意軟體活動,該活動自 2026 年 2 月以來一直針對用戶。微軟威脅情報和微軟 Defender 專家發現的這種威脅,結合了剪貼簿竊取、加密貨幣錢包攻擊和遠端存取功能,以竊取數位資產並保持對受感染系統的控制。
該惡意軟體旨在攔截敏感的加密貨幣相關訊息,包括錢包位址、助記詞和私鑰。微軟表示,該威脅主要透過惡意捷徑檔案(.lnk)傳播,這些檔案透過可移動USB分發。一旦激活,該惡意軟體會部署其他元件,以實現持久化、資料收集以及與攻擊者控制的基礎設施通訊。
與依賴可見指令與控制伺服器的傳統惡意軟體攻擊不同,此攻擊利用捆綁的 Tor 代理程式來隱藏網路活動。該惡意軟體透過 Windows 腳本宿主和基於 ActiveX 的腳本啟動一個便攜式 Tor 用戶端,在連接到隱藏服務伺服器之前,先將通訊路由到本機 SOCKS5 代理程式。這種方法降低了可見性,並允許攻擊者匿名存取受感染的設備。
此攻擊結合了兩大主要功能:傳播組件透過受感染的文件和行動儲存媒體進行擴散,以及專門用於竊取加密貨幣的剪貼簿竊取組件。該惡意軟體可以創建看似指向合法文件的惡意快捷方式,誘使用戶在不知情的情況下執行有害程式碼。它還會創建計劃任務以維持自身持久性,並在系統重新啟動後繼續運作。
新一代加密竊盜基礎設施
該惡意軟體表明,威脅正朝著輕量級、基於腳本的方向發展,它將金融盜竊與更廣泛的後門功能相結合。感染後,該惡意軟體會持續監控剪貼簿活動,搜尋與加密貨幣相關的資料。當使用者複製錢包位址時,該惡意軟體可以將其替換為攻擊者控制的位址,從而在受害者不經意間重定向交易。
該威脅還會搜尋比特幣和以太坊相關的私鑰和BIP39助記詞,這些資訊通常用於恢復加密貨幣錢包。捕獲的資訊會透過基於Tor的通道傳輸給攻擊者,同時也會收集螢幕截圖,以提供有關錢包活動和帳戶餘額的更多資訊。
微軟強調,該惡意軟體具備遠端命令執行功能,允許攻擊者向受感染的系統發送指令並執行其他程式碼。這使得其威脅不再局限於簡單的加密剪枝器,而成為一個能夠支援更多惡意活動的靈活工具。
安全研究人員指出,這次攻擊活動主要依賴行為指標,而非傳統的基於文件的偵測。可疑活動包括腳本引擎啟動異常進程、篡改加密貨幣位址、基於 PowerShell 的螢幕截圖,以及透過本地主機 9050 連接埠建立異常的 Tor 代理連線。
Microsoft Defender 防毒軟體能夠偵測到 Trojan:Win32/CryptoBandits.A 惡意軟體家族的相關元件,而 Microsoft Defender for Endpoint 則能夠偵測可疑腳本活動、資料外洩嘗試和例外執行等行為。
微軟建議各組織加強對可移動儲存媒體威脅的防禦,限制不必要的腳本執行,監控可疑的代理活動,並針對混淆腳本應用安全控制措施。該公司還建議審查剪貼簿監控行為,並調查腳本工具與網路通訊實用程式互動的系統。
這項發現凸顯了針對加密貨幣的惡意軟體日益複雜化,攻擊者越來越多地將自動化錢包竊取技術、匿名通訊系統和持久存取機制相結合。隨著數位資產與金融活動的整合日益加深,安全團隊預計將更加重視保護錢包憑證,並監控與加密貨幣攻擊相關的行為。
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。
