BTC
ETH微软近日发现一款自今年2月起悄然活跃的恶意程序,该程序专门针对Windows系统。这款名为CryptoBandits的恶意软件能够通过Tor网络窃取种子短语、密钥及钱包信息,并可通过USB驱动器进行传播。在6月17日发布的一篇博文中,微软威胁情报团队与Microsoft Defender专家揭露了这一恶意活动——它在用户毫无察觉的情况下持续窃取加密钱包中的资产。微软安全专家指出,该程序将传统USB蠕虫攻击手段与现代匿名工具相结合,使得这一恶意软件在数月内未被察觉。
研究人员表示,该恶意活动将剪贴板劫持、钱包地址替换、蠕虫式传播以及基于Tor的通信功能集于一身。即便恶意代码执行后,该程序仍能长期保持对本地机器的访问权限。
微软详解感染流程
微软的详细博文指出,感染以传统方式开始——通过U盘。随后,恶意软件会访问插入的可移动驱动器中的快捷方式文件。一旦U盘接入计算机,蠕虫组件会立即激活。
蠕虫组件会搜索设备上的普通文件(如Word文档、电子表格和PDF),隐藏真实文件,并用同名的虚假快捷方式替换。当毫无防备的Windows用户点击这些快捷方式,以为在打开常规的Word或Excel文件时,实际上触发了恶意软件。
接着,恶意软件会自我复制到机器的USB驱动器中,并设置计划任务,确保重启后仍能运行,同时将自己排除在Microsoft Defender的扫描范围之外。当实际的钱包剪贴板劫持器在第二阶段被激活时,基于脚本的有效载荷依赖Windows Script Host和Active X对象,而非典型的安装程序,这使得它极难被检测到。
一切准备就绪后,恶意软件会在隐藏窗口中启动Tor客户端,生成一个独特的受害者ID,并向隐藏在Tor洋葱地址后的命令与控制服务器注册。通过这种方式,恶意软件能够成功通过隐藏信道传输信息而不被发现。
微软解析为何该恶意软件更难捕获
微软安全团队解释称,该恶意软件会进入循环状态,大约每半秒轮询一次其操作者并扫描剪贴板。该程序专门设计用于识别12个或24个单词的BIP39种子短语。
恶意软件会扫描以太坊密钥和比特币WIF格式的私钥,保存本地备份,并通过Tor网络将数据推送给攻击者的服务器。它被设计为多次重试相同的事件序列,直到推送成功。仅在推送成功后,程序才会删除本地副本,并且每秒拍摄多张屏幕截图,让攻击者能够直观看到受害者的钱包余额和活动情况。
如果剪贴板中出现钱包地址,恶意软件可以在受害者粘贴之前将其替换为攻击者控制的地址。当你复制一个比特币地址准备付款时,最终落入收款地址栏的可能是完全属于其他人的地址。
目前,Microsoft Defender防病毒软件已将该威胁标记为Trojan:Win32/CryptoBandits.A,而Defender for Endpoint则监控可疑的JavaScript进程和基于curl的数据窃取行为。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注