2026年2月,微软威胁情报和微软 Defender 专家发现了一场加密剪贴板劫持攻击。这是一次基于Windows构建的恶意活动。该恶意软件通过剪贴板劫持利用加密货币持有者,并搜索敏感的钱包信息。微软通过其博客报告了这些情况。
攻击者主要通过USB驱动器上分发的恶意.lnk快捷方式文件传播此恶意软件。此恶意代码的激活会导致恶意软件释放两个模块。一个模块在系统间传播恶意软件,而另一个则作为剪贴板劫持器和信息窃取器运行。Microsoft Defender Antivirus 将此威胁识别为 Trojan/CryptoBandits.A。
与大多数恶意软件操作不同,此恶意软件无需使用安装程序或任何控制服务器,因为它利用 Windows 脚本宿主和 ActiveX 技术来启动一个打包的 Tor 代理。然后,它在受感染的计算机上使用 SOCKS5 代理,并连接到在 Tor 隐藏服务上运行的控制服务器。
恶意软件窃取钱包信息并替换地址
感染系统后,该恶意软件持续监控任何剪贴板内容,并查找恢复短语、私钥和钱包地址。根据微软的说法,该恶意软件精准地针对12词和24词恢复短语、比特币私钥和以太坊私钥。它在用户完成交易前,将复制的钱包地址替换为攻击者控制的地址。
该恶意软件会截取屏幕截图并通过Tor连接发送,这使得攻击者能够获取更多关于用户钱包余额和活动的信息。此外,微软表示,该恶意软件具有远程代码执行能力,使攻击者有可能发送额外指令,同时通过使用计划任务和对恶意软件部分进行加密来确保持久性。
研究人员识别出多个入侵指标,包括可疑的JavaScript执行、localhost:9050代理活动、基于PowerShell的屏幕截图捕获以及剪贴板监控行为。微软建议组织禁用自动运行功能。他们还应限制从USB驱动器运行脚本解释器和可执行快捷方式,并监控与此相关的任何可疑活动。此恶意软件活动突显了加密货币在投资者和用户中持续增长的使用情况。
重点加密新闻:
以太坊基金会再遇成员离职,Hsiao-Wei Wang宣布卸任
