微软发现通过U盘传播的加密钱包劫持恶意软件
作者 Mag-Info Tech editorial · 2026-06-19
微软近期披露了一种通过U盘传播的恶意软件,它能在Windows系统中劫持加密货币钱包,并通过伪装成快捷方式文件进行传播。这种名为Trojan:Win32/CryptoBandits的蠕虫病毒自2月份起开始活跃,主要通过感染的USB存储设备进入目标电脑。一旦进入系统,它会监控用户的剪贴板,窃取助记词、私钥等敏感信息,并通过Tor网络将数据外传。更危险的是,当用户尝试转账时,该恶意软件会悄悄替换收款地址,将资金直接转入攻击者控制的钱包。对于这类通过物理介质传播的恶意软件,用户需要提高警惕,并及时采取相应的防护措施。
传播机制:从U盘快捷方式到系统感染
这种名为Trojan:Win32/CryptoBandits的恶意软件通过U盘传播的方式极具隐蔽性。攻击者会将恶意软件伪装成普通文档的快捷方式(.lnk文件)存储在USB存储设备中。当用户在Windows系统中打开这些快捷方式时,恶意软件会自动执行,进而安装蠕虫病毒。这种传播方式利用了Windows系统的自动播放功能和快捷方式执行机制,即使没有管理员权限,也能在后台完成安装。由于快捷方式文件通常与普通文档关联,用户很难察觉到异常。此外,恶意软件还会在清洁的USB设备上创建同名快捷方式,进一步扩大传播范围。
进入系统后,恶意软件会立即开始监控用户的剪贴板活动。每当用户复制加密货币的助记词、私钥或转账地址时,恶意软件会自动记录这些敏感信息,并通过Tor网络将其发送给攻击者。更为险恶的是,当恶意软件检测到用户正在进行加密货币转账时,它会静默替换剪贴板中的收款地址,将资金直接转入攻击者控制的钱包。这种攻击方式不仅难以被用户察觉,而且能够在短时间内窃取大量资产。
技术细节:剪贴板监控与Tor网络外传
从技术角度来看,Trojan:Win32/CryptoBandits的核心功能包括剪贴板监控、数据外传和地址替换。恶意软件会持续监控Windows剪贴板,识别特定格式的加密货币数据(如助记词、私钥或地址)。一旦发现目标数据,它会立即通过Tor网络将数据发送到攻击者的服务器。Tor网络的使用使得恶意软件的通信流量难以被追踪,进一步增加了取证和溯源的难度。
在地址替换方面,恶意软件会在用户复制收款地址后,将其替换为攻击者控制的钱包地址。这种替换过程极其隐蔽,用户在粘贴地址时通常不会察觉到任何异常。由于加密货币转账一旦完成就无法撤销,这种攻击方式能够在用户毫不知情的情况下完成资金转移。对于习惯使用剪贴板进行地址复制的用户来说,这种攻击方式具有极高的危险性。
攻击范围与潜在影响
虽然微软尚未公布具体的受害者数量,但根据该恶意软件的传播机制和目标,其影响范围可能相当广泛。由于U盘是一种常见的数据传输工具,无论是企业员工、个人用户还是加密货币投资者,都可能成为潜在的受害者。特别是对于那些经常在不同设备间转移加密货币的用户,这种恶意软件的风险更高。此外,恶意软件还可能通过共享办公设备或公共电脑进一步扩散,增加了防护的复杂性。
从经济损失的角度来看,这种恶意软件能够在短时间内窃取大量加密货币资产。由于加密货币转账具有不可逆性,用户一旦遭受攻击,资金损失几乎无法挽回。对于企业用户而言,这种攻击还可能导致内部敏感信息泄露,进一步增加了潜在的损失。因此,对于加密货币持有者和企业用户来说,这种恶意软件的威胁不容小觑。
微软的防护建议与用户应对措施
针对这种恶意软件,微软已发布了一系列防护建议。首先,用户应立即禁用Windows系统的自动播放功能,防止U盘插入时自动执行恶意文件。其次,用户应限制快捷方式文件(.lnk)在USB存储设备上的执行权限,避免通过伪装文件感染系统。此外,用户还应检查并更新系统的脚本主机(如wscript.exe和cscript.exe)配置,防止恶意脚本的执行。
MEFAI的AI带来真实成果。专业版立减50美元。
赞助内容 · 过往表现不代表未来结果。非财务建议。
对于普通用户而言,除了系统层面的防护措施外,还应养成良好的安全习惯。例如,在复制加密货币地址时,建议使用键盘手动输入地址,或通过可信的加密货币钱包应用直接生成二维码进行转账。此外,用户还应定期检查系统进程,使用可靠的安全软件进行全盘扫描,及时发现并清除潜在的恶意软件。对于企业用户,建议在内部网络中部署端点检测与响应(EDR)系统,提高对恶意软件的检测和响应能力。
企业与开发者的防护策略
对于企业和开发者来说,这种恶意软件的出现凸显了加强内部安全防护的重要性。企业应在内部网络中实施严格的USB设备管控策略,例如限制USB存储设备的使用,或仅允许经过认证的设备接入。此外,企业还应定期对员工进行安全培训,提高员工对恶意软件的识别能力。对于开发者而言,建议在应用程序中集成加密货币地址验证机制,防止用户在不知情的情况下将资金转入恶意地址。
在技术层面,企业可以通过部署网络流量监控系统,检测并阻断恶意软件的Tor网络通信。此外,企业还应定期更新系统补丁,修复已知的安全漏洞,降低恶意软件的入侵风险。对于开发者来说,建议在应用程序中集成多重验证机制,例如要求用户在转账前进行额外的确认,进一步提高安全性。
加密货币用户的具体防护措施
对于加密货币用户,特别是那些频繁进行转账操作的用户,建议采取以下具体措施以提高安全性。首先,用户应避免在公共电脑或不熟悉的设备上进行加密货币操作,降低感染恶意软件的风险。其次,用户应使用硬件钱包或支持多重签名的软件钱包,减少私钥泄露的风险。此外,用户还应定期备份钱包数据,并将大部分资金存储在冷钱包中,降低资金损失的风险。
在日常操作中,用户应养成良好的安全习惯,例如在复制地址时仔细检查粘贴的内容,确保地址无误。此外,用户还应定期检查系统进程,使用可靠的安全软件进行扫描,及时发现并清除潜在的恶意软件。对于那些经常使用U盘传输数据的用户,建议在使用前对U盘进行病毒扫描,避免感染恶意软件。
未来趋势与监控重点
从长远来看,这种通过U盘传播的恶意软件可能会继续演变,攻击手法更加隐蔽和复杂。例如,攻击者可能会利用更先进的加密技术或零日漏洞,进一步提高恶意软件的隐蔽性和传播能力。因此,用户和企业需要持续关注安全威胁的发展动态,及时更新防护策略。
对于安全研究人员和企业而言,监控类似的恶意软件变种、分析其传播机制和技术特征,将是未来一段时间的重点工作。通过建立威胁情报共享机制,安全团队可以更快速地响应新兴威胁,降低潜在的损失。此外,用户还应关注安全软件厂商发布的更新和防护建议,确保系统始终处于最新的安全状态。
总结:提高警惕,及时防护
Trojan:Win32/CryptoBandits的出现再次提醒我们,加密货币用户和企业必须时刻保持警惕,及时采取有效的防护措施。无论是通过U盘传播的恶意软件,还是其他形式的网络攻击,安全防护始终是第一位的。用户应养成良好的安全习惯,定期检查系统安全状态,并及时更新防护策略。对于企业和开发者来说,加强内部安全防护、提高员工安全意识,也是降低风险的关键。只有通过持续的安全防护和风险管控,才能有效应对不断演变的网络威胁,保护自身的数字资产安全。
更多相关内容 网络安全与隐私
Taiko桥接协议被利用,用户被紧急要求撤回资产
Taiko桥接协议因验证机制缺陷遭受攻击,约170万美元资产被盗,官方紧急要求用户撤回所有跨链资产并暂停相关系统。
Secret Network跨链桥被“滥发”漏洞攻击,470万美元资产流失
Secret Network跨链桥因“滥发”漏洞被攻击,467万美元资产在7天内被转移至以太坊并分散到多个交易所
AryStinger 僵尸网络:超4000台陈旧路由器沦为攻击跳板
超4000台陈旧D-Link路由器被AryStinger僵尸网络接管,用于分发恶意流量、DNS劫持与内网侦察。受影响用户应立即更新固件、禁用远程管理并检查DNS设置。