微软近期发布的安全报告指出,自今年2月以来,一种通过USB随身碟传播的新型恶意程序开始感染Windows电脑,专门针对以下加密货币钱包:
比特币
以太坊
微软将其归类为「Crypto Clipper」,并在Defender 防毒系统中标记为「Trojan:Win32/CryptoBandits」。这类恶意程式不仅能窃取助记词与私钥,还会在用户转帐时偷偷替换收款地址,甚至透过USB 装置自我复制、持续扩散。
根据微软说明,攻击通常始于一支遭感染的USB 随身碟。
其中包含一个伪装成正常档案的Windows 捷径档(副档名为.lnk)。当使用者插入随身碟并点击该档案后,蠕虫病毒便会悄悄安装到电脑中。感染后,病毒会在背景持续执行,同时等待新的干净USB 装置接入,以便进一步扩散。
这套恶意程式会每隔约500 毫秒监控一次Windows 剪贴簿。当使用者复制比特币或以太坊钱包的助记词(Seed Phrase)或私钥时,病毒会立即撷取资料,并透过Tor 匿名网路传送到骇客控制的伺服器。
除了文字资讯外,病毒还会每隔10 秒截图一次,连续拍摄五张萤幕画面,一并回传给攻击者,以取得更多敏感资讯。
微软指出,更令人警惕的是其「剪贴簿劫持(Clipper)」功能。当使用者复制收款地址准备转帐时,病毒会在背景悄悄将地址替换成骇客控制的钱包地址。
由于地址长度相似且过程完全没有任何提示,使用者若未仔细核对,很可能在不知情的情况下,将资产直接转入骇客帐户。
除了窃取资产外,这种蠕虫还具有自我传播能力。
当新的USB 随身碟插入受感染电脑时,病毒会扫描其中的Word、Excel、PDF 等常见文件,然后将原本档案隐藏,并建立同名的.lnk 捷径档。
使用者误以为打开的是原始文件,实际上却会触发病毒感染,使整支USB 成为新的传播媒介,形成循环扩散。
为降低感染风险,微软建议Windows 用户采取以下措施:
关闭可移除装置的AutoRun(自动执行)功能;透过群组原则(Group Policy)禁止USB 装置中的.lnk 捷径档执行;限制wscript.exe 与cscript.exe 等脚本执行工具;使用Microsoft Defender 的企业客户,可透过威胁猎捕功能(Hunting Queries)检查是否存在可疑行为,例如连接本地Tor 代理的9050 埠。此外,微软也公布了多项入侵指标,包括恶意档案杂凑值(Hash)以及骇客用来控制受害电脑的.onion 网域,供企业资安团队进行检测。
由于许多加密货币投资人习惯利用USB 随身碟保存钱包备份、私钥或助记词,这类透过实体装置传播的蠕虫病毒格外危险。
即使电脑未直接连接网路,只要曾插入遭感染的USB,仍可能导致敏感资讯外泄,甚至在转帐时遭到地址劫持。
微软提醒,用户在进行加密资产转帐时,务必逐字确认收款地址,并避免随意开启来源不明的USB 档案,以降低资产遭窃风险。
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
浏览量
