微软发现 USB 传播的恶意软件通过剪贴板劫持和基于 Tor 的控制窃取加密钱包数据。
微软已向 Windows 用户发出严厉警告,称其为“加密 Clipper”的复杂恶意软件,该恶意软件通过 USB 驱动器传播并危害加密货币钱包。该恶意软件自 2026 年 2 月开始活跃,以剪贴板数据为目标,窃取私钥、种子短语和钱包地址,使攻击者能够在不被发现的情况下窃取资金。
加密货币剪子并不新鲜,但微软威胁情报强调了这种最新病毒所采用的独特方法。该恶意软件使用 USB LNK 蠕虫进行传播,自动传播到其他存储设备。它还使用 Tor 网络伪装其基础设施,使用匿名连接与其命令和控制 (C2) 服务器进行通信。根据微软 6 月 17 日的分析,通过将 Tor 重命名为 ugate.exe,它进一步隐藏了自己的存在。
恶意软件如何工作
一旦系统被感染,恶意软件就会执行几个阶段。它安装两个混淆的 JavaScript 有效负载并安排任务以保持持久性。加密货币剪裁器会主动监控受害者剪贴板中的加密货币钱包地址(针对比特币、以太坊、波场和门罗币),并将其替换为攻击者控制的地址。该恶意软件更进一步,每十秒捕获一次屏幕截图以收集更多上下文。
Microsoft Defender 已将该恶意软件标记为 Trojan:Win32/CryptoBandits.A。研究人员还证实了其后门功能,允许攻击者执行任意代码,可能升级为勒索软件攻击。微软指出:“剪贴板定位、Tor 路由 C2 和远程执行的结合为攻击者提供了即时和长期控制。”
财务影响和更广泛的背景
此活动凸显了以加密货币为中心的恶意软件日益复杂。区块链分析公司 Chainaanalysis 报告称,2025 年加密货币盗窃案价值达 170 亿美元,反映出这些攻击的利润有多么丰厚。 Clipper 恶意软件只是更广泛趋势的一个方面,最近的“Mini Shai Hulud”和“ClipXDaemon”等活动也分别通过供应链攻击和 Linux 系统针对钱包。
经济影响是显而易见的。截至6月19日,比特币(BTC)交易价格为62,770美元,过去24小时下跌1.78%,市值为1.24万亿美元。鉴于数字资产的高价值,通过恶意软件盗窃钱包可能会对零售和机构持有者造成毁灭性影响。
缓解策略
为了降低感染风险,Microsoft 建议禁用可移动媒体上的自动播放、阻止 USB 驱动器执行 .lnk 并监视代理活动。用户还应该在确认交易之前逐个字符验证钱包地址,因为 Clippers 通常会生成相似的地址来逃避检测。使用具有设备上地址验证功能的硬件钱包并在交易所启用提款地址白名单是额外的保护层。
对于开发人员和加密货币爱好者来说,避免非官方软件下载、保持端点保护更新以及审查开源依赖项是必不可少的步骤。以加密为重点的恶意软件的攻击面不断扩大,凸显了提高警惕的必要性,特别是当攻击者利用匿名通信和蠕虫病毒传播等日益先进的技术时。
随着 Clippers 的迅速发展,加密行业面临着一场保护其资产的艰苦战斗。然而,意识和主动防御可以显着降低成为这些攻击受害者的风险。