從錢包劫持到遠程控制：微軟揭露一波針對 Windows 用戶的加密惡意軟件新潮流 | 元宇宙快訊

簡要概述

微軟揭露一個利用基於Tor基礎設施的Windows加密貨幣剪貼器活動，用於竊取錢包憑證、劫持交易以及維持遠程存取。

科技公司微軟已報告發現一個基於Windows的加密貨幣剪貼器惡意軟件活動，自2026年2月起一直針對用戶。該威脅由微軟威脅情報與微軟防禦專家識別，結合了剪貼簿盜取、加密貨幣錢包攻擊和遠程存取能力，以竊取數字資產並保持對受感染系統的控制。

該惡意軟件旨在攔截敏感的加密貨幣相關資訊，包括錢包地址、種子短語和私鑰。微軟表示，該威脅主要通過惡意快捷方式文件（.lnk）傳播，這些文件通過可移動USB驅動器分發。一旦激活，惡意軟件會部署額外組件，以實現持久性、數據收集和與攻擊者控制的基礎設施通信。

與依賴可見命令與控制伺服器的傳統惡意軟件活動不同，這次活動使用捆綁的Tor代理來隱藏網絡活動。惡意軟件通過Windows Script Host和ActiveX腳本啟動便攜式Tor客戶端，並將通信路由通過本地的SOCKS5代理，然後連接到隱藏服務伺服器。這種方法降低了可見性，使攻擊者能夠匿名存取受感染設備。

該攻擊結合了兩個主要功能：一個通過感染文件和可移動媒體傳播的擴散組件，以及專注於加密貨幣盜竊的剪貼器盜取組件。惡意軟件可以創建看似引用合法文件的惡意快捷方式，導致用戶在不知情的情況下執行有害代碼。它還會建立排程任務，以維持持久性並在系統重啟後繼續運作。

新一代加密貨幣盜竊基礎設施

該惡意軟件展現出向輕量化、基於腳本的威脅轉變，結合了金融盜竊與更廣泛的後門能力。感染後，惡意軟件會持續監控剪貼簿活動，搜尋與加密貨幣相關的資料。當用戶複製錢包地址時，惡意軟件可以將其替換為攻擊者控制的地址，重定向交易而用戶未立即察覺。

該威脅還會搜尋比特幣和以太坊相關的私鑰以及BIP39種子短語，這些通常用於恢復加密貨幣錢包。捕獲的資訊會通過基於Tor的通道傳送給攻擊者，同時收集截圖以提供有關錢包活動和帳戶餘額的額外背景資訊。

微軟強調，該惡意軟件包含遠程命令執行能力，允許攻擊者向受感染系統發送指令並執行額外的代碼。這將威脅從單純的加密貨幣剪貼器擴展為一個能支持進一步惡意活動的靈活工具。

安全研究人員指出，該活動嚴重依賴行為指標而非傳統的基於文件的檢測。可疑活動包括腳本引擎啟動意外進程、加密貨幣地址操控、PowerShell截圖，以及通過localhost端口9050的異常Tor代理連接。

微軟Defender防病毒軟件將相關組件識別為Trojan:Win32/CryptoBandits.A，而微軟Defender for Endpoint則提供額外的行為檢測，包括可疑腳本活動、資料外洩企圖和異常進程執行。

微軟建議組織加強對可移動媒體威脅的防禦，限制不必要的腳本執行，監控可疑的代理活動，並對混淆的腳本實施安全控制。公司還建議審查剪貼簿監控行為，並調查與網絡通信工具交互的腳本工具所在的系統。

此發現凸顯了專注於加密貨幣的惡意軟件日益複雜化，攻擊者越來越多地結合自動化錢包盜竊技術、匿名通信系統和持久存取機制。隨著數字資產在金融活動中的整合度不斷提高，安全團隊預計將更加重視保護錢包憑證和監控與加密貨幣攻擊相關的行為。