从钱包劫持到远程控制：微软曝光针对Windows用户的新一波加密恶意软件 | 元宇宙邮报

简要概述

微软揭露了一场利用基于Tor基础设施的Windows加密货币剪贴器行动，旨在窃取钱包凭证、劫持交易并保持远程访问。

科技公司微软报告发现了一场针对用户的基于Windows的加密货币剪贴器恶意软件行动，该行动自2026年2月开始。该威胁由微软威胁情报和微软防御专家识别，结合了剪贴板盗窃、加密货币钱包攻击和远程访问能力，用于窃取数字资产并控制被感染的系统。

该恶意软件旨在拦截敏感的加密货币相关信息，包括钱包地址、种子短语和私钥。微软表示，该威胁主要通过恶意快捷方式文件（.lnk）传播，这些文件通过可移动USB驱动器分发。一旦激活，恶意软件会部署额外组件，实现持久性、数据收集和与攻击者控制的基础设施通信。

与依赖可见命令与控制服务器的传统恶意软件不同，此次行动使用捆绑的Tor代理隐藏网络活动。恶意软件通过Windows脚本主机和ActiveX脚本启动便携式Tor客户端，将通信路由通过本地SOCKS5代理，然后连接到隐藏服务服务器。这种方法降低了可见性，使攻击者能够匿名访问受感染设备。

该攻击结合了两大功能：通过感染文件和可移动介质传播的传播组件，以及专注于加密货币盗窃的剪贴器组件。恶意软件可以创建看似引用合法文档的恶意快捷方式，导致用户在不知情的情况下执行有害代码。它还会创建计划任务以保持持久性，并在系统重启后继续运行。

新一代加密货币盗窃基础设施

该恶意软件展示了向轻量级、基于脚本的威胁转变的趋势，这些威胁结合了财务盗窃和更广泛的后门能力。感染后，恶意软件会持续监控剪贴板活动，搜索与加密货币相关的数据。当用户复制钱包地址时，恶意软件可以将其替换为攻击者控制的地址，重定向交易而用户未立即察觉。

该威胁还会搜索比特币和以太坊相关的私钥以及BIP39种子短语，这些通常用于恢复加密货币钱包。捕获的信息通过基于Tor的渠道传输给攻击者，同时还会收集截图，以提供关于钱包活动和账户余额的额外背景信息。

微软强调，该恶意软件具有远程命令执行能力，允许攻击者向受感染系统发送指令并执行额外代码。这使得威胁不仅仅是一个简单的加密货币剪贴器，而是一个支持进一步恶意活动的灵活工具。

安全研究人员指出，该行动严重依赖行为指标而非传统的基于文件的检测。可疑活动包括脚本引擎启动意外进程、加密货币地址操作、PowerShell屏幕截图以及通过localhost端口9050进行的异常Tor代理连接。

微软防御防病毒软件检测到该恶意软件家族的相关组件，标记为Trojan:Win32/CryptoBandits.A，而微软端点防御则提供了关于可疑脚本活动、数据外泄尝试和异常进程执行的额外行为检测。

微软建议组织加强对可移动介质威胁的防御，限制不必要的脚本执行，监控可疑的代理活动，并对混淆脚本实施安全控制。公司还建议审查剪贴板监控行为，并调查脚本工具与网络通信工具交互的系统。

此次发现凸显了针对加密货币的恶意软件日益复杂化，攻击者越来越多地结合自动钱包盗窃技术、匿名通信系统和持久访问机制。随着数字资产在金融活动中的融合不断加深，安全团队预计将更加重视保护钱包凭证和监控与加密目标相关的行为。