微软安全研究人员发现新型加密货币恶意软件活动
微软安全研究人员揭露了一起自2026年2月起活跃的恶意软件攻击活动,该活动主要针对加密货币资产。被跟踪为Trojan:Win32/CryptoBandits.A的恶意软件主要通过受感染的USB驱动器传播,能够迅速将用户复制的钱包地址替换为攻击者的地址。作为美国科技巨头,微软还以其庞大的网络安全研究团队而闻名,该团队负责监控全球数字威胁。
恶意软件如何运作
根据提供的信息,感染通常始于将携带恶意软件的USB驱动器连接到计算机。一旦连接,恶意软件便通过隐藏的快捷方式文件执行其恶意负载,并能够自我复制到其他本地存储设备。当嵌入Windows系统后,它会利用基于Tor的中继节点与命令和控制服务器建立隐蔽通信,以掩盖其活动。
最大的风险出现在用户交易过程中。该恶意软件持续监控系统剪贴板,每500毫秒检查一次,并在不到半秒的时间内将任何复制的钱包地址替换为攻击者的地址。除非用户在确认交易前手动仔细核对钱包地址,否则资金可能直接转入犯罪分子的钱包。
微软研究团队指出,该恶意软件不仅会替换钱包地址,还会扫描本地文件,试图窃取私钥和恢复助记词。
术语说明:助记词是一种备份,通常由12或24个单词组成,可用于恢复加密货币钱包。一旦泄露,助记词便赋予持有者对钱包内资产的完全控制权。
推荐的安全措施
微软建议用户仔细审查日常操作习惯以防范此类攻击。推荐的预防措施包括:禁用Windows设备上的自动运行功能、避免使用来历不明的USB驱动器、以及在确认任何转账前仔细核对钱包地址中的每个字符。此外,离线运行的硬件钱包被认为是保护助记词和数字资产最可靠的方法之一。
微软此前的警告与行动
这并不是微软首次就针对加密货币用户的威胁发出警告。此前,该公司曾提醒公众注意两个npm包——utils-terminal@3.2.1和logger-active@3.2.1——其中包含隐藏的恶意组件。这些工具通过远程访问恶意软件收集按键记录和屏幕截图,随后将钱包凭证泄露到外部。
2025年5月,微软领导了一场全球协调行动,针对自2022年底以来一直活跃的Lumma Stealer组织。作为该行动的一部分,当局查封了2300个恶意域名,而美国司法部则采取措施拆除了与该组织相关的中央控制面板和暗网市场。根据法院命令,微软的数字犯罪部门查封了2300个域名,欧洲刑警组织的欧洲网络犯罪中心(EC3)和日本网络犯罪控制中心(JC3)则停止了欧洲和亚洲剩余服务器的运行。
最新发现突显了通过物理载体传播的安全威胁再次抬头,这给加密货币用户带来了新的挑战。基于USB的感染与剪贴板地址替换技术的结合,使得个人投资者在完成任何交易前执行细致的验证流程比以往任何时候都更加重要。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注