自二月以来，CryptoBandits恶意软件通过U盘攻击Windows用户_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

自二月以来，CryptoBandits恶意软件通过U盘攻击Windows用户

2026-06-19 19:53:06

微软发现新型恶意软件通过U盘攻击Windows用户加密货币钱包

微软近日识别出一种新型恶意软件，自2月以来通过U盘传播，专门针对Windows用户的加密货币钱包。该公司将其归类为“加密钱包剪贴板劫持器”（crypto clipper），并在Microsoft Defender防病毒软件中以Trojan:Win32/CryptoBandits的名义进行追踪。

恶意软件如何运作？

攻击始于一个放置在受感染U盘上的恶意快捷方式文件（.lnk扩展名）。尽管这类文件通常用于在Windows中打开程序或文件夹，但点击该被篡改的快捷方式会在设备上安装一种类似蠕虫的恶意软件。

安装完成后，恶意软件会同时执行两项关键任务。首先，它会持续运行主代码，从加密货币钱包中收集信息。其次，它会不断等待干净的U盘连接到同一台电脑，从而使感染扩散到多个便携设备和系统。

据微软称，该恶意软件会定期监控剪贴板数据，收集诸如助记词、私钥和收款地址等信息。这些数据随后通过Tor网络发送给攻击者。此外，当用户复制交易所需的钱包地址时，恶意软件可以悄悄将其替换为攻击者控制的地址，从而实施未经授权的转账。

针对哪些数据？

微软指出，该恶意软件每500毫秒扫描一次Windows剪贴板。如果用户从比特币或以太坊等钱包复制了助记词或私钥，该软件就会捕获这些敏感信息。恶意软件还会以10秒为间隔截取多达五张屏幕截图，并将其发送到外部。

其中最关键的风险之一是对转账地址的静默替换。当用户复制收款地址以发送资金时，恶意软件可以在粘贴前将其替换为攻击者的地址——且不显示任何可见警告——从而可能将加密货币转移至未经授权的一方。

小词典：Tor网络

Tor网络是一个开源平台，通过将互联网流量经过多个服务器路由来增强隐私保护。网络攻击中常被用于隐藏命令与控制通信。

基于U盘的传播方式

通过U盘传播的方式是另一个显著特点。当干净的U盘连接到受感染的电脑时，恶意软件会扫描其中的Word、Excel和PDF等文件。接着，它会将这些文件替换成同名的快捷方式文件，从而感染该U盘。

这种手段可能误导用户以为文件未受更改，使得感染循环得以继续——当被感染的U盘连接到其他设备时，将进一步扩大传播范围。

微软的安全建议

微软建议禁用可移动介质的自动运行功能，通过组策略阻止U盘上的.lnk文件执行，并限制wscript.exe和cscript.exe等脚本主机。同时，微软敦促IT团队扫描网络，查找已公布的入侵指标。

这些指标包括文件哈希以及据称与命令与控制服务器相关的.onion域名地址。微软还建议Microsoft Defender用户检查本地Tor代理在端口9050上是否存在可疑连接，并审查系统内的相关活动。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文