微软警告：新型“Crypto Clipper”恶意软件正在通过感染的USB传播

微软威胁情报团队详细介绍了一种新型复杂的基于Windows的“剪贴器”恶意软件，该软件自2026年2月以来一直在悄然针对加密货币用户。

与典型的现代网络威胁不同，这种恶意软件不依赖钓鱼邮件、恶意浏览器扩展或假钱包应用程序。相反，它通过感染的实体USB驱动器以传统方式传播。

什么是剪贴器恶意软件？

“剪贴器”是一种高度特定的恶意软件，旨在利用一种普遍的数字习惯：复制和粘贴。

该软件不断监控计算机的剪贴板——在复制文本时使用的临时数字存储器。当检测到敏感的财务数据，最常见的是加密货币钱包地址时，它会悄悄将其替换为由攻击者控制的地址。

USB感染链

根据微软的报告，攻击始于用户插入受感染的USB驱动器并打开看似正常的文档。实际上，这只是一个伪装的快捷方式文件。

一旦打开，病毒会悄无声息地自我安装，并立即尝试跳转到连接到机器的其他可移动驱动器，从而实现横向传播，感染同事、朋友和系统。

一旦在后台激活，风险变得极其高：

• 资金劫持： 如果用户复制一个加密钱包地址进行交易，恶意软件会将其替换为攻击者的地址。它甚至会匹配原始地址的第一个和最后一个字符以迷惑用户。
• 完整钱包接管： 如果用户复制敏感的恢复数据，如种子短语或私钥，恶意软件会直接捕获，赋予犯罪分子对资金的完全控制权。

通过暗网网络隐藏踪迹

使这种特定变种不同且危险的是它隐藏踪迹的方式。

它不直接连接到标准互联网服务器，而是利用内置的隐藏版Tor网络。通过将所有被盗数据通过本地代理路由到一个秘密的.onion网站，它可以轻松规避监控正常互联网流量的传统网络安全工具。

此外，恶意软件还赋予攻击者远程命令执行权限。这意味着犯罪分子不仅在窃取加密货币，还获得了一个持久的后门，可以在受感染的计算机上运行任何他们想要的代码。

如何保护你的资金

由于这种恶意软件特别生成伪造的地址，模仿目标地址的第一个和最后一个字符，随意的“肉眼”验证将无法识别。

为了保护你的资产，安全专家建议采取一些立即的措施：

• 验证每个字符： 转账加密货币时，在点击发送前，务必仔细核对整个钱包地址字符串，而不仅仅是外部字符。
• 使用硬件钱包： 可能的话，使用硬件钱包。这些设备要求你在隔离的屏幕上亲自确认并查看完整、未被篡改的目标地址，然后资金才会离开你的控制。
• 避免未知USB设备： 对实体闪存驱动器保持与对可疑电子邮件链接相同的警惕。切勿将不可信的驱动器插入关键计算机。

为什么这很重要

与大规模交易所黑客不同，剪贴器恶意软件直接针对个人投资者，通过劫持复制粘贴的简单行为。由于它完美模仿真实钱包地址的外观，随意的抽查已不足以保护你的资金。

关注DailyCoin的热门加密快讯：
AI加密代币滑落，正值机构开启ETF大门之际
肯塔基州起诉Polymarket和Kalshi，挑战特朗普时代的加密政策

人们也在问：

什么是剪贴器恶意软件？ 剪贴器恶意软件是一种监控设备剪贴板（复制的文本暂存区）的恶意软件。当检测到特定数据，如加密货币钱包地址时，它会秘密将其替换为由攻击者控制的地址。

剪贴板劫持恶意软件如何传播？ 虽然许多网络威胁通过钓鱼邮件或恶意下载在网上传播，但剪贴器恶意软件也可以通过感染的USB闪存驱动器或在共享局域网中横向传播。

为什么仅凭肉眼验证不足以发现钱包地址被篡改？ 高级剪贴器恶意软件可以自动生成与原始地址第一个和最后一个字符完全匹配的虚假钱包地址。由于许多用户只会目视检查长地址字符串的外部部分，篡改很容易被忽略。