微软警告新型加密货币恶意软件：如何保护你的钱包_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

微软警告新型加密货币恶意软件：如何保护你的钱包

2026-06-19 18:16:15

核心要点

微软发现一款自2026年2月起活跃的Windows加密货币剪贴板恶意软件。
它通过USB驱动器中的恶意快捷方式文件传播。
该恶意软件窃取助记词并替换用户复制的钱包地址。
其命令服务器隐藏在Tor网络中。
Microsoft Defender将其检测为Trojan:Win32/CryptoBandits.A。
它攻击的是设备本身，而非区块链或交易所。
针对个人钱包的攻击在加密货币盗窃中占比增长迅速。

微软发现的新威胁

微软威胁情报部门披露了一场针对Windows系统的加密货币剪贴板劫持活动，该活动自2026年2月以来持续活跃。恶意软件通过植入USB存储设备中的恶意快捷方式（.lnk文件）进行传播。当受害者打开看似正常的文件快捷方式时，有效载荷会静默安装两个组件：一个蠕虫病毒，它会自我复制到其他可移动驱动器；一个剪贴板劫持模块，专为窃取加密货币凭证而设计。一旦激活，它会同时执行多项高价值操作：扫描助记词和私钥、截取屏幕、监控剪贴板、将用户复制的钱包地址替换为攻击者控制的地址，并通过Tor保持远程连接。Microsoft Defender将其检测为Trojan:Win32/CryptoBandits.A。

为何攻击设备而非区块链

最令人担忧的是攻击目标。该恶意软件并非攻破交易所或利用智能合约漏洞，而是攻击整个所有权流程中最薄弱的环节——计算机本身。大多数用户将安全重心放在交易所账户、硬件钱包和合约风险上，而这场攻击绕过了所有这些防御。其逻辑简单而残酷：如果攻击者获取了12或24个单词的助记词、私钥，或者替换了用户即将发送的地址，那么区块链的安全性便毫无意义——因为攻击发生在交易签名之前。当盗窃发生在设备上时，任何链上安全措施都无济于事。

剪贴板攻击的工作原理

该恶意软件大约每500毫秒持续扫描剪贴板内容，寻找助记词、私钥以及多条链上的钱包地址，支持比特币（包括传统格式、P2SH、Taproot和Bech32格式）、波场和门罗币地址。当检测到复制的地址时，它会在用户粘贴到钱包或提现表单之前，静默地将其替换为攻击者的地址。为避免引起怀疑，替换地址被选择为与原地址部分相似，导致快速目视检查不可靠。捕获的数据随后通过Tor发送出去，这使得追踪变得极为困难。

Tor组件使其难以阻止

该攻击活动并非依赖传统的命令与控制服务器，而是捆绑了自己的Tor客户端，通过本地主机:9050上的本地SOCKS5代理路由流量，并与隐藏的.onion服务通信。它还支持远程代码执行，能够根据命令运行攻击者提供的代码。由于它依赖Windows内置脚本工具而非庞大且可被检测的安装程序，因此能够绕过简单的文件扫描和常规网络监控。

设备可能被入侵的迹象

由于该恶意软件避免使用大型安装程序，并通过合法的Windows工具运行，它留下的痕迹较为隐蔽而非明显。以下是值得关注的几种行为：

USB驱动器上的文件变成了快捷方式

蠕虫病毒会隐藏你的真实文件，并用同名的类似.lnk快捷方式文件替换它们，这是感染的一个典型特征。

意外的脚本活动

其他警示信号包括：wscript.exe或cscript.exe从用户文件夹或可移动驱动器运行，以及PowerShell启动屏幕截取。

陌生的进程或代理

恶意软件运行捆绑的Tor客户端（观察为重命名的二进制文件），并在端口9050上打开本地代理，这种活动在大多数个人电脑上都不正常。

粘贴的地址不匹配

如果你粘贴的钱包地址与你复制的地址不同，哪怕只有细微差别，也应视为严重警告信号并立即停止操作。微软建议优先采用基于行为的检测而非简单的文件扫描，因为该攻击活动正是为规避后者而设计的。

如何保护你的加密货币免受此类恶意软件侵害

令人鼓舞的是，防御措施是实用的，并且大部分直接来自微软自身的建议。由于攻击始于设备，因此防护也必须从设备开始。

将USB驱动器视为不可信

该攻击活动通过可移动介质传播，因此微软建议禁用自动运行和自动播放功能，并阻止从USB驱动器执行.lnk快捷方式文件。完全避免插入未知驱动器。

始终验证完整地址

由于剪贴板劫持软件会替换复制的地址，请仔细检查粘贴地址的每一个字符是否与预期地址一致，而不仅仅是首尾几个字符。对于大额转账，先发送一笔小额测试交易是一个好习惯。

使用硬件钱包并在设备上确认

硬件钱包将私钥离线保存，并允许你在设备自己的屏幕上验证目标地址，这可以击败剪贴板替换攻击，因为你独立于受感染的计算机确认真实地址。

切勿以数字形式存储助记词

该恶意软件专门在剪贴板和文件中搜索助记词。将恢复短语离线、以物理形式保存，切勿在联网设备上输入、复制或保存。

保持端点保护更新

Microsoft Defender已经能够检测该恶意软件家族，因此保持Windows和防病毒软件更新，并启用实时保护，可以堵住已知变种的入侵途径。这一切背后有一个残酷的现实：区块链交易是不可逆的。如果资金被发送到攻击者替换的地址并在链上确认，通常无法追回，没有银行可以打电话，也没有交易可以撤销。这种永久性正是为何预防——而非恢复——才是努力方向的原因。

加密货币安全的更大图景

这场攻击活动强化了一个愈发清晰的教训：加密货币安全最薄弱的环节往往不再是区块链、交易所或钱包提供商，而是用于访问它们的终端设备。数据也印证了这一转变。区块链分析公司Chainalysis报告称，2025年上半年，从加密货币服务中被盗的资金超过21.7亿美元，已超过2024年全年总额，按此速度年底将突破40亿美元。同一份报告发现，针对个人的攻击已占所有被盗资金活动的约23%，这一比例部分得益于更复杂的针对个人的攻击技术。这正是CryptoBandits所契合的趋势。随着攻击者更多依赖剪贴板窃取、助记词提取和设备入侵，攻击经济性倾向于直接针对个人，而非攻破加固的交易所基础设施。保护计算机本身正变得与保护其中持有的资产同样重要。

本文仅供信息参考，不构成财务建议。在做出投资决定前，请咨询专业人士。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文