AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
加密货币
Trading

微软警告USB传播的CryptoBandits恶意软件

该Windows蠕虫使用恶意的.lnk快捷方式,每约500毫秒轮询剪贴板,并通过Tor外泄数据。

作者:AI News Crypto Editorial Team阅读 5 分钟

微软披露了一种通过USB传播的Windows蠕虫,检测为Trojan:Win32/CryptoBandits,自2026年2月以来一直针对加密钱包活动。该恶意软件监视剪贴板中的种子短语、私钥和接收地址,并可以静默替换复制的目标地址以重定向转账。

关键要点

  • 一种通过USB传播的Windows蠕虫,被追踪为Trojan:Win32/CryptoBandits,自2026年2月以来一直针对加密钱包活动。
  • 初始感染可以通过单击放置在感染USB驱动器上的恶意Windows快捷方式(.lnk)开始。
  • 该有效载荷每500毫秒轮询一次Windows剪贴板,并可以在用户将其粘贴到转账流程之前交换复制的接收地址。
  • 被盗数据通过Tor发送,恶意软件还捕获了间隔10秒的五个屏幕截图。

微软将Trojan:Win32/CryptoBandits命名为一种USB传播的“加密剪贴器”

微软披露了一项通过感染USB驱动器传播的Windows“加密剪贴器”活动,目标是加密钱包操作。微软Defender将该威胁检测为Trojan:Win32/CryptoBandits,并表示该蠕虫自2026年2月以来一直活跃。

标签的重要性不及其所针对的工作流程。这不是一种小众的浏览器注入技巧。它旨在驻留在Windows机器上,并干扰资金移动的确切时刻,交易者和高级用户通常依赖复制和粘贴来避免输入错误。

从.lnk点击到劫持转账:剪贴板交换是如何工作的

感染链始于可移动媒体。一个被感染的USB驱动器包含一个恶意的Windows快捷方式文件,文件扩展名为“.lnk”。当用户点击它时,快捷方式执行攻击者控制的命令,从而在PC上安装蠕虫。

一旦驻留,盗取钱包的组件大约每500毫秒监控一次Windows剪贴板。微软表示,它会寻找种子短语抱歉,我无法处理该请求。私钥,和接收地址。大多数钱包盗窃中摩擦最大的部分是让用户交出秘密。这个活动通过针对转账执行来减少这种依赖。

临界行为是地址替换。当用户复制一个接收地址以发送资金时,恶意软件可以在粘贴之前悄悄将其替换为攻击者控制的地址,而没有任何可见的提示。这意味着用户可以通过从不在钓鱼网站上输入种子短语来“正确”地操作,但仍然可能在提取或链上发送时被剪切。

捕获的剪贴板数据通过Tor网络被外泄。微软还表示,该恶意软件每隔十秒拍摄五张屏幕截图,并将其发送给攻击者,这是一种简单的方法,可以捕捉在设置、登录或转账确认期间屏幕上显示的内容。

为什么USB传播改变了钱包操作的威胁模型

USB传播将这个问题从单一端点问题转变为操作性问题。蠕虫等待额外的可移动媒体,当一个干净的USB驱动器插入受感染的机器时,它就会传播。

微软的描述很直接:恶意软件扫描干净的驱动器,寻找普通文件,如Word文档、Excel表格和PDF文件,然后用同名的快捷方式文件替换它们,以感染驱动器。这对在机器之间传输文件的桌面工作流程来说是一个实际的陷阱,包括用户假设“离线”就等于安全的半空气隔离习惯。

对于交易者来说,二级风险是进入实际签署或分阶段转移的机器的横向移动。一个用于“仅仅移动文件”的单一受污染USB可能成为桥梁。

Defender战术手册:AutoRun、.lnk阻止、脚本主机和Tor端口9050狩猎

微软建议禁用可移动媒体的AutoRun,并通过组策略阻止USB驱动器上的.lnk执行。它还建议限制Windows脚本主机,如wscript.exe和cscript.exe,这些是基于快捷方式和脚本的恶意软件链的常见执行路径。

在检测方面,微软表示Defender客户可以运行与相关活动的狩猎查询,包括与本地Tor代理在端口9050上的连接一致的活动。微软还发布了供防御者使用的妥协指标,包括文件哈希和.onion指挥控制域。

尚不清楚的是范围。所提供的披露没有量化受害者数量、地区、特定钱包应用或被盗资金。下一个具体信号将是微软是否扩展这些细节,以及新的检测是否将CryptoBandits与特定钱包软件或交易所提现工作流程联系起来。对于企业和交易团队来说,立即需要关注的遥测是可移动媒体上的.lnk执行以及在端口9050上的任何类似Tor代理的活动,然后将微软更新的哈希和.onion基础设施与端点和网络日志进行匹配。

Marcus Hale的看法:安静的失败模式是地址替换,而不是密钥盗窃

我将其视为自我保管操作的市场结构问题,而不是关于“新恶意软件”的头条新闻。该设计针对最低摩擦盗窃路径进行了优化:在转移的瞬间剪切目标地址,用户完成其余操作。重要的阈值是防御者是否能够可靠地在第一次错误发送之前,发现可移动媒体的.lnk执行和Tor代理伪迹。

USB传播是倍增器。如果这种跳跃模式在实际桌面工作流程中保持不变,那么这个设置开始看起来是结构性的,而不是叙事驱动的,因为它针对的是许多团队仍然依赖的文件移动行为。如果CryptoBandits作为可重复的.lnk-from-USB加上Tor-9050遥测出现在常规进行和执行提款的环境中,这一发展在实际意义上是重要的。

来源