微軟剛剛宣佈發現了一種針對 Windows 用戶的新型網絡攻擊活動,該活動使用了一種自 2026 年 2 月以來一直活躍的加密剪貼器惡意軟件。據微軟威脅情報和微軟 Defender 專家團隊稱,這是近期記錄到的最複雜的剪貼器變種之一,因為它不僅竊取加密加密地址,還能收集Seed記詞、私鑰、截取屏幕截圖,並根據黑客的命令執行遠程代碼。
與許多使用公開可訪問的命令行 (C2) 服務器或易於檢測的安裝程序的傳統惡意軟件攻擊不同,次惡意軟件利用 Tor 網絡來隱藏其整個命令與控制基礎設施。這使得安全專家追蹤攻擊來源變得更加困難。
根據微軟的分析,此次攻擊活動始於擴展名為“.lnk”的惡意快捷方式文件。當用戶不慎打開這些文件時,他們的設備就會感染兩種不同的組件。第一種組件類似於計算機蠕蟲,能夠自我複製並在系統中傳播。第二種組件是一種數據竊取工具,任務竊取與加密貨幣相關的數據。
成功入侵系統後,蠕蟲會掃描計算機上的合法文件,並製作仿盤快捷方式以繼續傳播惡意軟件。同時,它還會部署其他有效載荷,並試圖將其排除在 Microsoft Defender 的掃描範圍之外,以延長自身的存活時間。此外,該惡意軟件還會創建計劃任務,以確保在次關機或登錄後自動重啟。
該惡意軟件最顯著的特點在於其運行機制。它並非使用傳統的可執行程序,而是主要基於 Windows Script Host 和 ActiveXObject 構建,直接與操作系統交互。利用 Windows 內置工具顯著下降了其異常行為,使其能夠輕鬆超越多種基本安全措施。
在開始運行之前,該惡意軟件會掃描環境以檢測分析工具。如果檢測到任務管理器正在運行,它將自動停止,以避免被安全研究人員追蹤。如果沒有檢測到威脅,它將以隱蔽模式啟動一個名為“ugate.exe”的Tor修改版。
Tor 與匿名網絡建立連接大約需要一分鐘,之後惡意軟件會為受害者生成一個唯一標識符,並將受感染的設備註冊到位於 Tor 隱藏服務上的命令與控制服務器上。從那時起,受害者的計算機就成為了攻擊者遠程控制的節點。
微軟表示,該惡意軟件會以大約每秒次的頻率持續監控剪貼板。任何複製到剪貼板的數據都會受到審查。具體來說,該惡意軟件被編程為搜索類似Seed記詞、私鑰或加密貨幣錢包地址的鏈。
當黑客檢測到用戶複製了自己的錢包地址進行交易時,他們會悄悄地將其替換為黑客控制的錢包地址。多年來,這種攻擊方式已給幣圈造成數千萬鎂的損失。如果用戶在確認交易前沒有仔細檢查收款地址,全部資金都可能直接轉入攻擊者的錢包。
除了竊取錢包數據外,惡意軟件還可以定期截取屏幕截圖,並通過 Tor 網絡將圖像發送到命令與控制服務器。這使得黑客能夠收集受害者屏幕上顯示的其他登錄信息、交易詳情或其他敏感數據。
更危險的是,微軟發現該惡意軟件支持遠程代碼執行。如果命令與控制服務器返回特定命令,惡意軟件可以直接在受感染的設備上下載並運行新代碼。這意味著此次攻擊不僅限於竊取加密貨幣,還可能為其他類型的惡意軟件(例如勒索軟件、銀行木馬或間諜軟件)的傳播鋪平道路。
安全專家評估,這是針對加密用戶的攻擊趨勢的重大轉變。與傳統的竊取錢包地址的攻擊方式不同,這些新型攻擊活動越來越多地採用各種技術,將受害者的計算機變成完全的後門。
2025年及2026年上半年,涉及Seed詞、加密貨幣錢包和惡意軟件的攻擊在全球範圍內顯著上漲。大量安全報告指出,黑客越來越多地利用Windows、PowerShell和Tor等匿名網絡上的合法工具來掩蓋其活動。這一趨勢使得傳統的基於特徵碼的惡意軟件檢測方法效力下降,迫使企業轉向更先進的行為監控解決方案。
微軟表示,Microsoft Defender for Endpoint 現在可以通過與可疑 JavaScript 進程、使用 Curl 進行的數據竊取活動以及其他異常行為相關的警報,識別出此次攻擊活動中的多個組成部分。同時,Microsoft Defender Antivirus 檢測到了名為 Trojan:Win32/CryptoBandits.A 的該惡意軟件變種。
專家建議加密貨幣用戶在發送資產前仔細檢查錢包地址,避免打開來自未知來源的快捷方式文件,定期更新操作系統,並使用能夠監控用戶行為的安全解決方案,而不僅僅依賴傳統的病毒掃描。對於持有者大量數字資產的用戶而言,使用硬件錢包並在每次交易前手動驗證收款地址仍然是抵禦日益複雜的剪幣攻擊最有效的防禦措施之一。
