微软发现针对钱包地址和私钥的新型加密恶意软件

TheNewsCrypto发布于2026-06-19更新于2026-06-19

文章摘要

2026年2月,微软威胁情报与微软 Defender 专家发现了一种针对加密货币的“剪切板劫持器”恶意软件活动。该恶意软件通过USB驱动器中的恶意.lnk快捷方式文件传播,利用Windows Script Host和ActiveX技术激活,无需安装程序或控制服务器即可运行。 一旦感染系统,该恶意软件会持续监控剪贴板内容,专门寻找12词或24词恢复短语、比特币及以太坊私钥和钱包地址。它会在用户完成交易前,将复制的收款地址替换为攻击者控制的地址。此外,恶意软件还能截图并通过Tor连接发送,使攻击者能窃取用户钱包余额和活动信息,并具备远程代码执行能力。 微软将此威胁检测为Trojan/CryptoBandits.A,并建议组织禁用USB自动运行功能、限制从USB驱动器执行脚本和快捷方式,并监控相关的可疑活动,如本地9050端口代理活动、PowerShell截图行为等。

2026年2月,微软威胁情报和微软 Defender 专家发现了一场加密剪贴板劫持攻击。这是一次基于Windows构建的恶意活动。该恶意软件通过剪贴板劫持利用加密货币持有者,并搜索敏感的钱包信息。微软通过其博客报告了这些情况。

攻击者主要通过USB驱动器上分发的恶意.lnk快捷方式文件传播此恶意软件。此恶意代码的激活会导致恶意软件释放两个模块。一个模块在系统间传播恶意软件,而另一个则作为剪贴板劫持器和信息窃取器运行。Microsoft Defender Antivirus 将此威胁识别为 Trojan/CryptoBandits.A。

与大多数恶意软件操作不同,此恶意软件无需使用安装程序或任何控制服务器,因为它利用 Windows 脚本宿主和 ActiveX 技术来启动一个打包的 Tor 代理。然后,它在受感染的计算机上使用 SOCKS5 代理,并连接到在 Tor 隐藏服务上运行的控制服务器。

恶意软件窃取钱包信息并替换地址

感染系统后,该恶意软件持续监控任何剪贴板内容,并查找恢复短语、私钥和钱包地址。根据微软的说法,该恶意软件精准地针对12词和24词恢复短语、比特币私钥和以太坊私钥。它在用户完成交易前,将复制的钱包地址替换为攻击者控制的地址。

该恶意软件会截取屏幕截图并通过Tor连接发送,这使得攻击者能够获取更多关于用户钱包余额和活动的信息。此外,微软表示,该恶意软件具有远程代码执行能力,使攻击者有可能发送额外指令,同时通过使用计划任务和对恶意软件部分进行加密来确保持久性。

研究人员识别出多个入侵指标,包括可疑的JavaScript执行、localhost:9050代理活动、基于PowerShell的屏幕截图捕获以及剪贴板监控行为。微软建议组织禁用自动运行功能。他们还应限制从USB驱动器运行脚本解释器和可执行快捷方式,并监控与此相关的任何可疑活动。此恶意软件活动突显了加密货币在投资者和用户中持续增长的使用情况。

重点加密新闻:

以太坊基金会再遇成员离职,Hsiao-Wei Wang宣布卸任

标签区块链加密货币恶意软件微软钱包

相关问答

Q根据文章,微软发现的这种新型加密恶意软件主要通过什么方式传播?

A主要通过分布在U盘上的恶意.lnk快捷方式文件传播。

Q微软将该恶意软件威胁标识为什么?

A微软Defender Antivirus将其标识为特洛伊木马程序,威胁名称为Trojan/CryptoBandits.A。

Q这种加密窃取程序主要监控和窃取用户的哪些敏感信息?

A它主要监控剪切板内容,并窃取12词或24词的恢复短语、比特币私钥、以太坊私钥以及钱包地址。

Q该恶意软件的一个显著技术特点是什么,使其无需安装程序或控制服务器即可运作?

A它利用Windows脚本宿主和ActiveX技术来启动打包的Tor代理,并通过SOCKS5代理连接运行在Tor隐藏服务上的控制服务器,因此无需传统的安装程序或直接的控制服务器。

Q微软建议组织采取哪些措施来防范此类恶意软件?

A微软建议组织禁用自动运行功能,限制从U盘运行脚本解释器和可执行快捷方式,并监控与此相关的可疑活动。

你可能也喜欢

Swift准备启动基于区块链账本的实时代币化支付试点项目,17家全球银行参与

SWIFT将其基于区块链的账本从开发阶段推进至实际应用阶段,宣布全球六大洲的17家银行将启动使用代币化存款进行跨境支付的试点。这标志着SWIFT首次在实际场景中应用该账本技术,使参与银行能够在维持现有金融基础设施结算的同时,提供24/7不间断的跨境支付服务。 该项目在宣布后不到一年内即准备就绪,其共享账本充当协调层,允许银行在各自账本上转移发行的代币化存款,使客户能够在夜间和周末发起资金转账,并通过现有支付系统完成最终结算。SWIFT表示,此举旨在提升流动性管理和支付灵活性,同时无需改变全球银行体系中已有的合规、风控及监管框架。 首批试点银行包括花旗、汇丰、渣打、瑞银、富国银行、纽约梅隆银行、法国巴黎银行、星展银行、劳埃德银行、三菱日联银行、华侨银行、大华银行、澳新银行、阿布扎比第一银行、第一兰德银行、伊塔乌联合银行和马什雷克银行等全球大型金融机构。这些银行认为,代币化存款有助于提高流动性效率、增强支付透明度并加快结算速度,同时保持在受监管的银行体系内运行。 与许多基于公共稳定币的区块链支付方案不同,SWIFT的平台围绕银行自行发行的代币化存款构建,资金仍保留在参与银行的账本上。共享账本连接这些系统,使机构能够在依赖现有结算轨道和监管框架的前提下,协调实时跨境支付。这反映了全球银行日益倾向于利用代币化技术升级支付体系,同时避免资金脱离受监管金融系统的趋势。

ambcrypto28分钟前

Swift准备启动基于区块链账本的实时代币化支付试点项目,17家全球银行参与

ambcrypto28分钟前

交易

现货
活动图片