微软威胁情报与微软 Defender 专家在 6 月 17 日表示,一种新的恶意软件变种自 2026 年 2 月起一直在感染 Windows 设备。该威胁被微软 Defender Antivirus 标记为“Trojan: Win32/CryptoBandits.A”,俗称“剪贴板劫持器”,旨在通过监控剪贴板活动从用户处窃取加密货币。该恶意软件通过大约每 500 毫秒观察一次剪贴板,并在用户复制并粘贴交易详情时,悄无声息地将加密货币钱包地址替换为攻击者控制的地址。基于剪贴板的攻击方式利用了加密货币交易中常见的复制钱包地址习惯,使攻击者能够在不让受害者知情的情况下重定向资金。
微软识别出恶意软件的传播方式
根据微软的报告,该活动从分发在 U 盘存储设备上的恶意快捷方式(.lnk)文件开始。恶意软件捆绑了两个组件:一个蠕虫组件用于自我传播,以及一个窃取器用于收集钱包数据。蠕虫会在 U 盘设备上隐藏合法文档,并将其替换为伪装过的快捷方式,因此用户打开看起来熟悉的文件时,实际上是在不知情的情况下启动恶意软件。
该恶意软件还会寻找助记词和私钥,这些凭证用于解锁加密货币钱包。为保持持久性,它会在一个隐蔽窗口中运行,设置计划任务,并将自身文件从 Defender 扫描中排除。恶意软件会检查任务管理器是否打开;如果打开就会关闭,这是面向反分析的策略,旨在躲避任何正在调查该设备的人。
CryptoBandits 使用基于 Tor 的基础设施
微软表示,CryptoBandits 部署了一个便携式 Tor 客户端,并通过本地代理路由流量以访问隐藏的命令与控制服务器。该设计使其能够将数据窃取与远程代码执行相结合,把一个“捞钱”的窃取器转变为轻量级后门,从而能够执行进一步的攻击者命令。基于 Tor 的基础设施让恶意软件能够在不依赖传统安装程序或暴露的服务器的情况下维持隐蔽的通信通道。
FAQ
微软发现的 CryptoBandits 恶意软件是什么?
CryptoBandits 被微软 Defender Antivirus 标记为“Trojan: Win32/CryptoBandits.A”,是一种恶意软件变种,会大约每 500 毫秒监控剪贴板活动,并将加密货币钱包地址替换为攻击者控制的地址。微软威胁情报与微软 Defender 专家在 6 月 17 日报告称,它自 2026 年 2 月起一直在感染 Windows 设备。
CryptoBandits 恶意软件如何传播到设备上?
根据微软的报告,恶意软件通过分发在 U 盘存储设备上的恶意快捷方式(.lnk)文件传播。蠕虫组件会在 U 盘设备上隐藏合法文档,并用伪装过的快捷方式替换这些文档;当用户打开看起来像熟悉文件时,这些快捷方式会启动恶意软件。
CryptoBandits 用什么基础设施来通信?
微软表示,CryptoBandits 部署了一个便携式 Tor 客户端,并通过本地代理路由流量以访问隐藏的命令与控制服务器。这种基于 Tor 的基础设施让恶意软件能够维持隐蔽的通信通道并执行远程命令。
