微软警告：CryptoBandits恶意软件使用USB蠕虫策略与Tor网络_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

微软警告：CryptoBandits恶意软件使用USB蠕虫策略与Tor网络

2026-06-19 17:01:54

微软披露新型恶意软件攻击：USB蠕虫手法结合加密货币剪贴板劫持

微软详细披露了一起新发现的恶意软件攻击活动，该活动结合了多种在现代网络犯罪中很少同时出现的技术，重新启用了旧式USB蠕虫的战术，同时瞄准了当今最有价值的资产之一：加密货币。自2026年2月以来，微软研究人员一直在追踪这场攻击，其核心是一种被称为“加密货币剪贴板劫持器”（crypto clipper）的恶意软件。这类恶意软件通过替换受害者剪贴板中的钱包地址来拦截加密货币交易。然而，研究人员指出，这场攻击远不止于典型的剪贴板劫持操作。

根据微软的分析，该恶意软件能够通过可移动存储设备传播，在受感染系统上长期驻留，并通过Tor匿名网络与攻击者通信。这种组合使研究人员将其归类为比普通加密货币窃取恶意软件更复杂的威胁。微软Defender检测该恶意软件为“Trojan/CryptoBandits.A.A”。

自2026年2月起，微软Defender专家追踪了一场加密货币剪贴板劫持攻击，该攻击结合了剪贴板窃取、钱包地址替换、蠕虫式功能以及基于Tor的通信，既能实现经济收益，也能持续访问设备。——微软威胁情报部门，2026年6月17日

类似旧蠕虫的USB感染方式

此次活动最不寻常的方面之一是其传播方式。虽然大多数现代恶意软件依赖钓鱼邮件、恶意广告或受污染的软件下载，但这次攻击使用可移动USB驱动器作为传播机制。微软发现，该恶意软件隐藏USB设备上存储的合法文件，并用外观完全相同的快捷方式文件替换它们。当用户打开看似文档的文件时，快捷方式会在后台启动恶意脚本，同时保持原始文件正常打开的假象。

研究人员注意到，该恶意软件能够自我复制到新连接的可移动驱动器上，从而在不依赖互联网分发的情况下从一台机器传播到另一台机器。这种蠕虫式行为与十多年前恶意软件家族广泛使用的技术如出一辙，但在如今专注于加密货币窃取的攻击中已很少见到。这种方法为攻击者提供了一种可靠的传播途径，尤其是在用户经常通过便携存储设备交换文件的环境中。

此次活动也反映了微软近期威胁情报研究中更广泛的趋势。研究人员越来越多地观察到攻击者将传统感染技术与现代基础设施及自动化工具相结合，以提高成功率。类似模式也出现在近期的大规模钓鱼攻击中，这些攻击利用先进技术针对组织进行规模化打击。

不仅仅是加密货币剪贴板劫持器

一旦安装，恶意软件便开始监控系统中与加密货币相关的活动。其主要目标仍然是金融盗窃。该恶意软件每500毫秒持续监控剪贴板，搜索加密货币钱包地址。当受害者复制钱包地址以发送资金时，恶意软件可将其替换为攻击者控制的地址。

替换过程相当复杂。它会通过匹配合法地址的前几位或后几位字符来生成外观相似的钱包地址，尤其针对比特币传统地址（Bitcoin Legacy）、P2SH、Taproot、波场（Tron）、门罗币（Monero）及其他流行加密货币。这使得用户在确认交易前更难察觉替换。由于区块链交易通常不可逆，发送到攻击者钱包的资金往往无法追回。

微软调查发现，该恶意软件还会搜索钱包恢复短语、私钥及其他加密货币相关凭证。研究人员观察到屏幕截图功能，会以10秒的间隔连续截取多张屏幕截图，表明操作者有意从受感染设备中收集更多信息。该恶意软件的大部分功能以加密形式存储，并使用混淆的JavaScript组件来增加分析难度。微软还指出，部分模块包含旨在识别安全工具或分析环境的检查，包括任务管理器，从而帮助恶意软件规避检测。

这些能力表明，该活动并不局限于简单的剪贴板操作，而是旨在建立持续访问的同时，最大化加密货币窃取机会。该恶意软件还支持通过从命令与控制基础设施接收的“EVAL”命令进行远程代码执行。

Tor基础设施引发额外担忧

微软报告中最重要的发现或许是该活动使用了Tor网络。恶意软件启动一个名为“ugate.exe”的改名Tor二进制文件，并连接到Tor网络内的隐藏服务。这为攻击者提供了额外的匿名层，使基础设施追踪变得困难得多。研究人员观察到，受感染系统可以接收来自操作者的命令、下载额外载荷并远程执行任务。虽然微软未将该恶意软件描述为功能齐全的远程访问木马，但命令功能表明操作者可根据需要在剪贴板劫持之外扩展活动。

使用Tor也使防御工作复杂化。安全团队通常可以识别并封锁已知的命令与控制基础设施，但隐藏服务更难追踪和瓦解。安全专家指出，要降低诸如CryptoBandits这类威胁的影响，仅靠端点保护是不够的。强大的访问控制、设备管理策略以及操作安全实践，可以帮助组织限制恶意软件传播，并防止对敏感系统和加密货币相关资产的未授权访问。

对于微软研究人员而言，此次活动揭示了网络犯罪的新趋势。攻击者不再依赖单一技术，而是越来越多地将旧式传播方法、凭据窃取能力、持久化机制以及匿名通信基础设施整合到模块化操作中，从而能够长时间保持活跃。

微软已向客户发布了检测与缓解指南，但尚未透露该活动背后的基础设施是否已被摧毁。因此，安全研究人员仍将其视为活跃威胁。这一发现提醒人们，即使网络犯罪分子在加密货币领域追逐新机会，他们往往也愿意重拾旧式攻击方法——只要这些技术仍能提供进入目标系统的途径。在这个案例中，一种曾与USB蠕虫相关的战术，已被改编用于这个日益由数字资产塑造的时代。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文