微软刚刚宣布发现了一种针对 Windows 用户的新型网络攻击活动,该活动使用了一种自 2026 年 2 月以来一直活跃的加密剪贴器恶意软件。据微软威胁情报和微软 Defender 专家团队称,这是近期记录到的最复杂的剪贴器变种之一,因为它不仅窃取加密加密地址,还能收集Seed记词、私钥、截取屏幕截图,并根据黑客的命令执行远程代码。
与许多使用公开可访问的命令行 (C2) 服务器或易于检测的安装程序的传统恶意软件攻击不同,次恶意软件利用 Tor 网络来隐藏其整个命令与控制基础设施。这使得安全专家追踪攻击来源变得更加困难。
根据微软的分析,此次攻击活动始于扩展名为“.lnk”的恶意快捷方式文件。当用户不慎打开这些文件时,他们的设备就会感染两种不同的组件。第一种组件类似于计算机蠕虫,能够自我复制并在系统中传播。第二种组件是一种数据窃取工具,任务窃取与加密货币相关的数据。
成功入侵系统后,蠕虫会扫描计算机上的合法文件,并制作仿盘快捷方式以继续传播恶意软件。同时,它还会部署其他有效载荷,并试图将其排除在 Microsoft Defender 的扫描范围之外,以延长自身的存活时间。此外,该恶意软件还会创建计划任务,以确保在次关机或登录后自动重启。
该恶意软件最显著的特点在于其运行机制。它并非使用传统的可执行程序,而是主要基于 Windows Script Host 和 ActiveXObject 构建,直接与操作系统交互。利用 Windows 内置工具显著下降了其异常行为,使其能够轻松超越多种基本安全措施。
在开始运行之前,该恶意软件会扫描环境以检测分析工具。如果检测到任务管理器正在运行,它将自动停止,以避免被安全研究人员追踪。如果没有检测到威胁,它将以隐蔽模式启动一个名为“ugate.exe”的Tor修改版。
Tor 与匿名网络建立连接大约需要一分钟,之后恶意软件会为受害者生成一个唯一标识符,并将受感染的设备注册到位于 Tor 隐藏服务上的命令与控制服务器上。从那时起,受害者的计算机就成为了攻击者远程控制的节点。
微软表示,该恶意软件会以大约每秒次的频率持续监控剪贴板。任何复制到剪贴板的数据都会受到审查。具体来说,该恶意软件被编程为搜索类似Seed记词、私钥或加密货币钱包地址的链。
当黑客检测到用户复制了自己的钱包地址进行交易时,他们会悄悄地将其替换为黑客控制的钱包地址。多年来,这种攻击方式已给币圈造成数千万镁的损失。如果用户在确认交易前没有仔细检查收款地址,全部资金都可能直接转入攻击者的钱包。
除了窃取钱包数据外,恶意软件还可以定期截取屏幕截图,并通过 Tor 网络将图像发送到命令与控制服务器。这使得黑客能够收集受害者屏幕上显示的其他登录信息、交易详情或其他敏感数据。
更危险的是,微软发现该恶意软件支持远程代码执行。如果命令与控制服务器返回特定命令,恶意软件可以直接在受感染的设备上下载并运行新代码。这意味着此次攻击不仅限于窃取加密货币,还可能为其他类型的恶意软件(例如勒索软件、银行木马或间谍软件)的传播铺平道路。
安全专家评估,这是针对加密用户的攻击趋势的重大转变。与传统的窃取钱包地址的攻击方式不同,这些新型攻击活动越来越多地采用各种技术,将受害者的计算机变成完全的后门。
2025年及2026年上半年,涉及Seed词、加密货币钱包和恶意软件的攻击在全球范围内显著上涨。大量安全报告指出,黑客越来越多地利用Windows、PowerShell和Tor等匿名网络上的合法工具来掩盖其活动。这一趋势使得传统的基于特征码的恶意软件检测方法效力下降,迫使企业转向更先进的行为监控解决方案。
微软表示,Microsoft Defender for Endpoint 现在可以通过与可疑 JavaScript 进程、使用 Curl 进行的数据窃取活动以及其他异常行为相关的警报,识别出此次攻击活动中的多个组成部分。同时,Microsoft Defender Antivirus 检测到了名为 Trojan:Win32/CryptoBandits.A 的该恶意软件变种。
专家建议加密货币用户在发送资产前仔细检查钱包地址,避免打开来自未知来源的快捷方式文件,定期更新操作系统,并使用能够监控用户行为的安全解决方案,而不仅仅依赖传统的病毒扫描。对于持有者大量数字资产的用户而言,使用硬件钱包并在每次交易前手动验证收款地址仍然是抵御日益复杂的剪币攻击最有效的防御措施之一。
