最优质的加密货币资讯直接发送到您的邮箱。.
- 微软威胁情报部门 trac到一款名为 CryptoBandits 的 Windows 加密货币剪币器,该剪币器自 2026 年 2 月以来一直处于活跃状态。.
- 该恶意软件通过植入恶意代码的 USB 快捷方式文件传播,然后隐藏在 Tor 网络内部窃取助记词、私钥,并交换复制的钱包地址。.
- 除了窃取数据外,它还可以在受感染的机器上运行攻击者提供的代码,将简单的剪贴板窃取程序变成一个有效的后门。.
微软已发出警告,指出一款恶意程序自二月份以来一直在暗中运行,专门攻击Windows系统。这款名为CryptoBandits的恶意程序可以通过Tor网络窃取助记词、密钥和钱包,并可通过U盘传播。.
在一篇博 文 揭露了一起恶意攻击活动,该活动在受害者毫无察觉的情况下窃取了加密货币钱包中的资金。微软安全专家指出,该恶意程序结合了传统的USB蠕虫病毒攻击手段和现代匿名工具,使其在数月内都无法被检测到。
研究人员表示,这种恶意活动可以将剪贴板窃取、钱包地址替换、蠕虫式传播和基于 Tor 的通信整合到一个程序中。此外,即使恶意代码执行完毕,该程序仍能长时间保持对本地计算机的访问权限。.
微软解释了病毒是如何传播的。
微软在其详细的博客文章中披露,此次感染始于传统的U盘传播方式。恶意软件会访问存储在移动存储设备中的快捷方式文件。一旦U盘插入计算机,蠕虫病毒组件就会立即激活。.
蠕虫病毒组件会搜寻设备上的普通文件,例如 DOC、电子表格和 PDF 文件,隐藏真实文件,并用同名的虚假快捷方式替换它们。一旦完成此操作,毫无戒心的 Windows 用户点击这些快捷方式时,以为是在打开普通的 Word 或 Excel 文件,但实际上,此操作会触发恶意软件。.
然后,该恶意软件会将自身传播到计算机的 USB 驱动器,并设置计划任务以在重启后继续运行,并将自身排除在 Microsoft Defender 扫描之外。.
当实际的剪贴板在第二阶段被激活时,基于脚本的有效载荷依赖于 Windows ScriptHost 和 ActiveX 对象,而不是典型的安装程序,这使得它极难被检测到。.
一切就绪后,恶意软件会在隐藏窗口中启动 Tor 客户端,生成唯一的受害者 ID,并向隐藏在 Tor 洋葱地址背后的命令与控制服务器注册自身。这样,恶意软件就能通过该隐藏通道成功传输信息而不被察觉。.
微软解释了为什么这种恶意软件更难被发现。
微软安全团队解释说,该恶意软件会进入一个循环,大约每半秒钟轮询一次操作者并扫描剪贴板。该程序专门用于识别 12 或 24 个单词的 BIP39 种子短语。.
该恶意软件会扫描 Ethereum 密钥和 Bitcoin WIF格式的私钥,保存本地备份,然后通过Tor网络将其推送到攻击者的服务器。它会多次重试相同的操作序列,直到推送成功为止。程序仅在推送成功后才会删除本地副本,并且每秒截取多个屏幕截图,使攻击者能够直观地了解受害者的钱包余额和交易活动。
如果剪贴板中出现了钱包地址,恶意软件可以在受害者粘贴之前将其替换为攻击者控制的地址。例如,复制 Bitcoin 地址进行付款时,实际出现在收款地址栏中的金额可能完全属于其他人。.
Microsoft Defender 防病毒软件现在会将该威胁标记为 Trojan:Win32/CryptoBandits.A,而 Defender for Endpoint 则会监视可疑的 JavaScript 进程和基于 curl 的数据泄露等行为。.
不要只是阅读加密货币新闻,要理解它。订阅我们的新闻简报, 完全免费。
免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究
柯林斯·J·奥科斯
柯林斯·奥科斯是一位拥有8年加密货币和科技领域报道经验的记者和市场分析师。他持有注册金融分析师(CFA)资格,并拥有精算matic学位。柯林斯曾担任Geek Computer和CoinRabbit的撰稿人和编辑。.
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)