Microsoft 威胁情报警告称,自 2026 年 2 月以来,基于 Windows 的加密货币剪裁器活动已影响用户。
- 微软表示 CryptoBandits 在 Windows 上使用 Tor 路由通信、钱包替换、屏幕截图和远程代码执行。
- 恶意软件通过恶意快捷方式文件进行传播,并从合法文件创建更多受感染的快捷方式。
- 安全团队应该寻找关联的行为,而不是孤立的警报,以便及早发现此攻击链。
在微软博客中,研究人员表示该恶意软件会窃取剪贴板数据、替换钱包地址并搜索有价值的加密信息。
该公司表示,Microsoft Defender Antivirus 检测到的威胁为 Trojan:Win32/CryptoBandits.A。微软在 X 帖子中表示,该活动结合了剪贴板盗窃、钱包地址替换、蠕虫病毒行为和基于 Tor 的通信。
恶意软件通过快捷方式文件传播
微软表示,攻击从恶意.lnk快捷方式文件开始。这些文件可以通过 USB 存储设备到达并在受感染的 Windows 系统上启动蠕虫组件。一旦活跃,恶意软件就会从设备上找到的合法文件创建更多恶意快捷方式。
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
— Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
该蠕虫还设置了持久性计划任务。这允许恶意软件在重新启动后继续运行,并为攻击者提供更长的时间来监控设备。微软表示,该威胁使用基于脚本的工具而不是大型安装程序,这使得基于文件的简单检测变得更加困难。
Tor 隐藏命令流量
裁剪器部署便携式 Tor 客户端并通过本地 SOCKS5 代理路由流量。微软表示,该恶意软件使用 localhost:9050 和 .onion 命令和控制域来降低正常的 DNS 可见性并使阻止更加困难。
恶意软件大约每 500 毫秒检查一次剪贴板。它会查找种子短语、私钥和加密钱包地址。如果它找到钱包地址,它可以将其替换为攻击者控制的地址。如果它找到种子短语或私钥,它可以通过 Tor 发送数据。
后门功能会增加风险
微软表示,该活动超出了基本的钱包地址转换范围。该恶意软件可以上传屏幕截图、联系隐藏的命令服务器,并通过 EVAL 命令运行攻击者提供的代码。这将加密货币窃取者变成了轻量级后门。
该公司表示,“防御者应该寻找相关行为,而不是调查孤立的事件。”它建议团队注意启动curl、cmd.exe、PowerShell 或意外文件的脚本引擎,尤其是与 localhost:9050 流量配对时。
加密货币用户仍然是常见目标
正如 crypto.news 之前报道的那样,StilachiRAT 还针对加密钱包并监控剪贴板活动。该与微软相关的警告涵盖了可以扫描浏览器钱包并提取存储数据的恶意软件。
根据早期的 crypto.news 报告,SparkCat 恶意软件使用图像扫描来搜索屏幕截图中的钱包助记词。 crypto.news 此前报道称,币安警告了 Clipper 恶意软件,该恶意软件用攻击者控制的地址替换了复制的钱包地址。
新的 Microsoft 报告显示 Clipper 恶意软件正变得更加分层。它不再只是等待用户复制钱包地址。它可以通过 Tor 传播、隐藏流量、窃取钱包数据、捕获屏幕并保持对系统的访问。