tradingkey.logo
搜尋

微軟警告稱,Windows加密剪貼器會通過Tor和USB驅動器竊取助記詞、密鑰和錢包。

Cryptopolitan2026年6月19日 10:44
facebooktwitterlinkedin

微軟已發出警告,指出一款惡意程序自二月份以來一直在暗中運行,專門攻擊Windows系統。這款名爲CryptoBandits的惡意程序可以通過Tor網絡竊取助記詞、密鑰和錢包,並可通過U盤傳播。. 

在一篇博 揭露了一起惡意攻擊活動,該活動在受害者毫無察覺的情況下竊取了加密貨幣錢包中的資金。微軟安全專家指出,該惡意程序結合了傳統的USB蠕蟲病毒攻擊手段和現代匿名工具,使其在數月內都無法被檢測到。

研究人員表示,這種惡意活動可以將剪貼板竊取、錢包地址替換、蠕蟲式傳播和基於 Tor 的通信整合到一個程序中。此外,即使惡意代碼執行完畢,該程序仍能長時間保持對本地計算機的訪問權限。. 

微軟解釋了病毒是如何傳播的。

微軟在其詳細的博客文章中披露,此次感染始於傳統的U盤傳播方式。惡意軟件會訪問存儲在移動存儲設備中的快捷方式文件。一旦U盤插入計算機,蠕蟲病毒組件就會立即激活。. 

蠕蟲病毒組件會搜尋設備上的普通文件,例如 DOC、電子表格和 PDF 文件,隱藏真實文件,並用同名的虛假快捷方式替換它們。一旦完成此操作,毫無戒心的 Windows 用戶點擊這些快捷方式時,以爲是在打開普通的 Word 或 Excel 文件,但實際上,此操作會觸發惡意軟件。.

然後,該惡意軟件會將自身傳播到計算機的 USB 驅動器,並設置計劃任務以在重啓後繼續運行,並將自身排除在 Microsoft Defender 掃描之外。. 

當實際的剪貼板在第二階段被激活時,基於腳本的有效載荷依賴於 Windows ScriptHost 和 ActiveX 對象,而不是典型的安裝程序,這使得它極難被檢測到。. 

一切就緒後,惡意軟件會在隱藏窗口中啓動 Tor 客戶端,生成唯一的受害者 ID,並向隱藏在 Tor 洋蔥地址背後的命令與控制服務器註冊自身。這樣,惡意軟件就能通過該隱藏通道成功傳輸信息而不被察覺。. 

微軟解釋了爲什麼這種惡意軟件更難被發現。

微軟安全團隊解釋說,該惡意軟件會進入一個循環,大約每半秒鐘輪詢一次操作者並掃描剪貼板。該程序專門用於識別 12 或 24 個單詞的 BIP39 種子短語。. 

該惡意軟件會掃描 Ethereum 密鑰和 Bitcoin WIF格式的私鑰,保存本地備份,然後通過Tor網絡將其推送到攻擊者的服務器。它會多次重試相同的操作序列,直到推送成功爲止。程序僅在推送成功後纔會刪除本地副本,並且每秒截取多個屏幕截圖,使攻擊者能夠直觀地瞭解受害者的錢包餘額和交易活動。 

如果剪貼板中出現了錢包地址,惡意軟件可以在受害者粘貼之前將其替換爲攻擊者控制的地址。例如,複製 Bitcoin 地址進行付款時,實際出現在收款地址欄中的金額可能完全屬於其他人。.

Microsoft Defender 防病毒軟件現在會將該威脅標記爲 Trojan:Win32/CryptoBandits.A,而 Defender for Endpoint 則會監視可疑的 JavaScript 進程和基於 curl 的數據泄露等行爲。.

最頂尖的加密貨幣專家都在閱讀我們的簡報。想 加入他們?

免責聲明:本網站提供的資訊僅供教育和參考之用,不應視為財務或投資建議。

推薦文章