微软发现了一种名为 CryptoBandits 的 USB 蠕虫病毒,该病毒自 2026 年 2 月以来一直在悄悄交换加密货币钱包地址。以下是它的工作原理。
微软威胁情报部门于 6 月 17 日披露,他们自 2026 年 2 月以来一直在追踪一个 Windows 恶意软件活动,该活动通过受感染的 USB 驱动器传播,并在用户不知情的情况下劫持加密货币转账。
该恶意软件被微软Defender杀毒软件检测为Trojan:Win32/CryptoBandits,它会大约每500毫秒监视受害者的剪贴板,并在用户粘贴之前将复制的钱包地址替换为攻击者控制的地址。交易在受害者的屏幕上正常完成,但资金却被转移到了完全不同的地方。
感染方法虽然老旧,但其执行方式却异常复杂,这对于通常来说只是一类简单的恶意软件而言。
当一个干净的U盘插入一台已感染病毒的电脑时,攻击就开始了。蠕虫会扫描U盘中的常见文件,包括Word文档、Excel表格和PDF文件,然后隐藏原文件,并用名称和图标完全相同的恶意快捷方式文件替换它们。
当这个U盘之后被插入另一台电脑,受害者点击看似自己的文档时,Windows资源管理器会自动处理恶意.lnk文件,恶意代码会在几秒钟内执行。无需下载,无需钓鱼邮件,也无需点击任何可疑链接。它看起来只是一个完全正常的U盘。
一旦在新机器上激活,该恶意软件会同时运行两个进程。它开始监视剪贴板,寻找有价值的数据,并等待下一个干净的U盘,以重复传播循环。
CryptoBandits 针对剪贴板数据中的三种特定类别,了解每一种类别对于评估您自身面临的风险都至关重要:
助记词和私钥。如果您出于任何原因复制了钱包助记词或私钥,即使只是短暂复制,恶意软件也会捕获它并通过 Tor 网络将其泄露到攻击者的服务器。
屏幕截图。该恶意软件会在检测到相关剪贴板活动时,每隔十秒截取五张屏幕截图,以捕获攻击者可用于确认窃取内容的视觉信息。
收款人钱包地址。这是最危险的功能。当你复制收款地址准备转账时,恶意软件会在你粘贴之前悄悄地将其替换为攻击者控制的地址。你看到的仍然是自己的地址。你确认了交易。钱款却落入了攻击者的口袋。
微软的分析发现,该恶意软件使用 Windows Script Host 和 ActiveX 驱动的逻辑来启动捆绑的 Tor 代理,并与隐藏的服务命令和控制服务器通信。
它还会设置计划任务以实现持久化,这意味着即使重启后它也能继续运行并无限期地持续监控。如果攻击者的服务器返回特定命令,该恶意软件可以在运行时执行额外的代码,使其功能远超一般的钱包窃取工具。
根据我们分析的安全事件,标准的剪贴板劫持恶意软件已经存在多年,而且相对容易检测,因为它通常需要持续连接到固定的服务器。CryptoBandits 则通过 Tor 网络路由所有通信,从而匿名化命令和控制基础设施,显著增加了基于网络的检测难度。
这种蠕虫状的USB传播方式也标志着恶意软件攻击手段的显著升级。大多数现代恶意软件通过钓鱼邮件、恶意广告或被篡改的下载文件进行传播。而通过可移动存储介质进行物理传播则绕过了电子邮件过滤器、浏览器安全警告以及大多数针对网络威胁的终端检测工具。安全公司NS3.AI证实,自2月份以来已有用户受到影响,币安在微软披露警告后,也直接将其转发给了自己的用户。
微软推荐的缓解措施非常具体,无论您是否注意到任何异常情况,都值得立即实施:
在您用于交易的每台 Windows 计算机上,禁用所有可移动介质的自动运行和自动播放功能。
如果您的操作系统允许,请在系统策略级别阻止从 USB 驱动器执行 .lnk 文件。
切勿在未仔细核对钱包地址的开头和结尾几个字符是否与预期一致的情况下复制粘贴地址。每次都要这样做。
绝对不要将助记词或私钥复制到剪贴板。直接输入或使用硬件钱包,硬件钱包绝不会将密钥暴露给操作系统。
如果您自二月份以来在交易电脑上使用过不熟悉的U盘,请对照微软在其安全博客中发布的入侵指标检查您的系统。
地址验证习惯是这里最重要的防御措施。恶意软件的整个运作模式都依赖于受害者信任复制的内容与粘贴的内容一致。交易者在确认转账前手动检查任何目标地址的前四个字符和后四个字符,就能有效抵御这种攻击,无论其系统上是否存在恶意软件。
Share it with your community
