USB传播的加密币剪贴板恶意软件针对Windows比特币和以太坊钱包_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

USB传播的加密币剪贴板恶意软件针对Windows比特币和以太坊钱包

2026-06-19 21:00:21

核心要点

微软披露，自2026年2月起，一种名为“加密剪贴板劫持器”的恶意程序正通过受感染的USB存储设备进行传播。

该威胁被归类为Trojan:Win32/CryptoBandits，会以约半秒一次的频率持续扫描Windows剪贴板。

恶意软件通过Tor匿名网络窃取加密货币钱包的恢复短语和私密凭证。

被复制的钱包地址会被实时替换为攻击者控制的地址，从而劫持加密货币交易。

防护措施包括禁用自动播放功能，并阻止从可移动存储设备执行.lnk文件。

微软警告：基于Tor的加密剪贴板劫持器正瞄准钱包数据

微软威胁情报与微软 Defender 专家团队发现，自2026年2月以来，一款针对 Windows 系统的加密剪贴板劫持器已对用户造成影响。该恶意软件通过恶意的 .lnk 快捷方式传播……

微软安全团队将这种恶意软件称为“加密剪贴板劫持器”，Windows Defender 防病毒软件将其检测为 Trojan:Win32/CryptoBandits。这家科技巨头在最近的安全公告中详细披露了这一新兴威胁。

当受害者将受感染的USB设备连接到电脑时，感染便会发生。U盘中隐藏着一个经过伪装的、带有“.lnk”扩展名的快捷方式文件。用户一旦与该文件交互，就会触发一个能自我传播的蠕虫病毒的安装程序。

成功部署后，恶意代码会同时执行两项操作：一方面开始窃取加密货币钱包信息，另一方面持续监控是否存在可作为新感染载体的USB设备。

剪贴板拦截机制

该威胁通过大约每500毫秒一次的频率持续监控剪贴板活动来实现攻击。剪贴板是Windows系统在复制粘贴操作中用于临时存储复制数据的功能。

一旦用户复制了敏感的加密货币信息——包括与比特币或以太坊账户相关的钱包助记词或私钥——恶意软件便会立即捕获这些数据。这些被盗的凭证随后会通过Tor匿名网络传输到攻击者控制的基础设施，从而有效隐藏最终目的地。

此外，该恶意软件还会以十秒为间隔连续截取五张屏幕截图，并将这些图像发送给攻击者进行分析。

除了窃取凭证，该恶意软件还具备一项尤为阴险的功能。当用户复制用于加密货币转账的接收方钱包地址时，该蠕虫会偷偷将其替换为攻击者控制的地址。受害者在不知情的情况下粘贴了恶意地址，从而无意中将数字资产直接转给了网络罪犯。

传播方式与缓解策略

当未感染的USB存储设备连接到受感染的系统时，蠕虫会立即启动。它会系统地扫描可移动媒体，寻找包括Word文件、Excel电子表格和PDF文档在内的合法文件。然后，恶意软件会用包含恶意负载的同名快捷方式文件替换这些文件。这个被感染的U盘随后会将威胁传播到它所连接的每一台后续系统。

微软已发布多项防御建议以减轻此威胁。组织和个人应禁用可移动存储设备的自动播放功能，并实施组策略限制，阻止从USB驱动器执行.lnk文件。

其他防护措施包括限制Windows Script Host可执行文件（如wscript.exe和cscript.exe）。使用 Microsoft Defender 的组织可以部署专门的威胁搜寻查询来识别可疑活动，包括针对本地Tor代理服务（运行在端口9050上）的网络连接。

安全公告中提供了一份全面的入侵指标清单，包括文件哈希值和用作命令与控制基础设施的.onion域名地址，使安全专业人员能够审计其环境以发现潜在感染。

加密货币交易所币安也已承认此威胁，并向其用户群分发了微软的安全警告。网络安全公司 NS3.AI 证实，自2026年2月以来，已有受害者受到此恶意软件活动的影响。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文