微软威胁情报警告:Windows平台加密货币剪贴板劫持活动自2026年2月持续影响用户
摘要
微软指出,名为CryptoBandits的恶意软件通过Tor网络通信、替换钱包地址、截屏以及远程代码执行等方式攻击Windows系统。该恶意软件借助恶意快捷方式文件传播,并从合法文件中创建更多受感染的快捷方式。安全团队应追踪关联行为而非孤立告警,以便尽早发现攻击链。
在微软的一篇博客中,研究人员表示该恶意软件会窃取剪贴板数据、替换钱包地址,并搜索有价值的加密货币信息。微软称,Microsoft Defender防病毒软件可将该威胁检测为Trojan:Win32/CryptoBandits.A。在X平台上,微软表示该活动结合了剪贴板窃取、钱包地址替换、蠕虫式传播行为以及基于Tor的通信。
恶意软件通过快捷方式文件传播
微软称,攻击始于恶意的.lnk快捷方式文件。这些文件可通过USB存储设备进入系统,并在受感染的Windows设备上启动蠕虫组件。一旦激活,恶意软件会从设备上的合法文件中创建更多恶意快捷方式。
自2026年2月以来,微软Defender专家追踪到一场加密货币剪贴板劫持活动,该活动结合了剪贴板窃取、钱包地址替换、蠕虫式功能以及基于Tor的通信,既能牟利,又能持续访问设备。
该蠕虫还会设置计划任务以实现持久化。这使得恶意软件在重启后仍能继续运行,为攻击者提供更长的监控窗口。微软表示,该威胁使用基于脚本的工具而非大型安装程序,这使得单纯基于文件的检测更加困难。
Tor隐藏命令流
该剪贴板劫持程序部署了便携版的Tor客户端,并通过本地SOCKS5代理路由流量。微软称,恶意软件使用localhost:9050和.onon域名作为命令与控制服务器,以降低常规DNS的可见性,使拦截更加困难。
该恶意软件大约每500毫秒检查一次剪贴板。它会查找助记词、私钥和加密货币钱包地址。如果发现钱包地址,可将其替换为攻击者控制的地址;如果发现助记词或私钥,则通过Tor发送数据。
后门功能增加风险
微软表示,该活动超出了基本的钱包地址替换。恶意软件可以上传截图、联系隐藏的命令服务器,并通过EVAL命令运行攻击者提供的代码。这使加密货币窃取器变成了轻量级后门。
该公司表示:“防御者应寻找关联行为,而非调查孤立事件。”建议团队监控脚本引擎是否启动curl、cmd.exe、PowerShell或意外文件,尤其是当这些行为与localhost:9050流量同时出现时。
加密货币用户仍是频繁目标
正如先前的报告,StilachiRAT也曾针对加密货币钱包并监控剪贴板活动。该微软关联的警告涉及可扫描浏览器钱包并提取存储数据的恶意软件。另一份报告提到,SparkCat恶意软件利用图像扫描功能在截图中搜索钱包助记词。此外,Binance曾警告过一种剪贴板恶意软件,该软件会将复制的钱包地址替换为攻击者控制的地址。
微软的最新报告显示,剪贴板劫持恶意软件正变得更加复杂。它不再仅仅等待用户复制钱包地址,而是能够传播、通过Tor隐藏流量、窃取钱包数据、捕捉屏幕截图,并保持对系统的访问。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注