CryptoBandits恶意软件让犯罪分子利用您的USB驱动器访问加密货币钱包——微软发出警告

微软最新的加密恶意软件研究指出，加密钱包是交易可能失败的多个环节之一，也是自托管中一个关键的实际弱点。

一台被入侵的 Windows 机器可以更改用户复制的地址，在转账签名前暴露助记词，或将截图和钱包上下文发送给攻击者。

在 6 月 17 日的安全博客报告中，微软表示，被检测为"CryptoBandits.A"的 CryptoBandits 恶意软件自 2026 年 2 月起开始活跃，并通过 USB 存储设备上的恶意 Windows 快捷方式文件入侵系统。

该恶意软件还会窃取钱包密钥、替换已复制的地址，并通过 Tor 与命令和控制基础设施通信。微软表示，它大约每 500 毫秒监控一次剪贴板，寻找助记词、私钥和钱包地址。

硬件钱包、地址核查和助记词使用规范仍是必要的防控措施。但如果处理钱包工作流程的终端设备遭到入侵，攻击者可能在用户察觉异常之前便已获取密钥、更改目标地址或监视屏幕内容。

CryptoSlate 此前已报道过类似的钱包窃取模式，包括 ClipBanker 式地址替换和与微软相关的钱包恶意软件。微软报告中的新内容是将 USB 传播、剪贴板窃取、Tor 路由控制以及检测行为的操作指南结合在一起。

CryptoBandits 恶意软件如何将 USB 快捷方式转化为执行入口

微软表示，初始访问通过恶意 .lnk 文件实现，包括通过 USB 存储设备分发的快捷方式。在微软分析的案例中，该快捷方式会部署一个蠕虫组件。

随后，恶意软件扫描 USB 驱动器中的常见文档文件，如 .doc、.xlsx 和 .pdf，隐藏原始文件，并使用相同文件名创建新的快捷方式文件。

结果是一个熟悉的陷阱：用户以为在打开可移动媒体上的文档，实际上却在执行蠕虫载荷。这一行为符合 MITRE ATT&CK 所描述的通过可移动媒体复制的更广泛安全模式，但针对加密货币的后果更为直接。

用于签名、复制或核查钱包信息的机器，都会成为攻击面的一部分。

一旦恶意快捷方式运行，微软表示，恶意软件会在 C:\Users\Public\Documents 目录下投放经过混淆的 JavaScript 载荷，利用计划任务实现持久化，并保留一个专门用于向新插入的 USB 驱动器传播的任务，另一个任务则执行窃取活动。

攻击往往始于普通的文件处理操作。一个共享的 USB 驱动器、一个复制的文件，或是使用可移动媒体的旧习惯，都可能在任何钱包软件打开之前，就使处理钱包的终端设备陷入不安全状态。

这使得日常使用可移动媒体的行为，对于任何后续涉及钱包工作流程的设备而言，都成为 USB 恶意软件风险。

然而，预防方法是切实可行的。危险时刻在于快捷方式执行及其后的持久化阶段，即钱包操作开始之前。

对于进行加密货币转移的个人或团队，打开可移动媒体的设备，也可能正是之后复制充值地址、显示恢复流程或准备资金转移的设备。

对于钱包操作而言，可移动媒体管理策略已成为托管操作的一部分。将签名工作站视为通用计算机的用户或团队，将承担与该机器相关的所有文档工作流程的风险。

用于钱包活动的设备应尽量减少执行不受信任的快捷方式、脚本和载荷的途径。

攻击最初表现为 Windows 快捷方式问题，随后演变为钱包控制问题。一旦终端设备遭到入侵，用户正常的复制地址、查看屏幕和准备交易等操作，恰恰为恶意软件提供了它所设计的监控素材。

CryptoBandits 恶意软件如何将剪贴板变成交易通道

微软的分析揭示了为何在资产自托管的情况下，加密剪贴板劫持器会造成如此严重的危害。在向命令和控制服务器注册后，恶意软件进入一个持续循环，大约每半秒检查一次剪贴板。

它会搜索 12 或 24 个单词的 BIP39 助记词、Bitcoin WIF 密钥、Ethereum 密钥和加密货币地址。

微软表示，如果发现助记词或私钥，恶意软件可将其保存在本地并通过 Tor 外泄。如果检测到已复制的加密货币地址，则会将其替换为攻击者控制的地址。

对于多种地址格式，微软表示，恶意软件会尝试使替换后的地址看起来足够相似以躲避粗略检查，例如匹配部分 Bitcoin、Tron 或 Monero 地址的首字符，或仅更改某些 Bech32 格式 Bitcoin 地址的最后一个字符。

多年来，微软一直将剪贴板地址替换视为钱包盗窃问题。在 2022 年一份关于 cryware 和热钱包的报告中，该公司将剪切和替换描述为在交易完成前拦截钱包数据的技术手段。

CryptoBandits.A 报告显示，这一模式与可移动媒体传播和基于 Tor 的命令流量相结合。

官方钱包支持指南进一步凸显了托管层面的问题。MetaMask 的文档将助记词和私钥视为控制钱包的核心密钥，并单独提示用户在确认发送前核实收款地址。

CryptoBandits.A 同时针对该工作流程的两个环节：控制钱包的密钥，以及接收资金的地址。

硬件钱包在工作流程中遗留的终端风险

这是一个针对钱包周边设备的特定终端警告。保持私钥隔离仍是抵御众多常见钱包攻击的最强防线之一。

一个错误的假设是，硬件保护覆盖了交易的每一个步骤。硬件钱包可以保护签名密钥，但无法使被入侵计算机的剪贴板变得可信。如果用户在受感染的机器上复制了交易所充值地址、付款地址或资金转移地址，恶意软件可能在用户粘贴之前就已篡改该值。

如果用户只核对几个熟悉的字符，一个专门设计得外观相似的替换地址，仍可能通过匆忙的核查。

助记词会产生更严重的故障模式。通过被入侵的 Windows 机器输入或复制的恢复短语，将面临远程入侵的风险。

微软表示，该恶意软件能够识别 BIP39 格式的助记词并将其外泄至命令和控制服务器。一旦此类密钥泄露，风险将超出单次转账尝试的范围。

对个人而言，钱包安全卫生在一定程度上就是设备安全卫生。对于由团队管理的资金，托管流程需要将终端设备行为纳入交易审批流程的一部分。

用于查看余额、准备转账、跨链资产或从交易所转移资金的机器，应与同时打开未知可移动媒体的工作站具备不同的风险定级。

有效的标准是隔离。处理钱包活动的设备应尽量减少运行脚本、打开 USB 驱动器快捷方式或通过剪贴板复制恢复材料的理由。

当工作流程依赖复制粘贴时，签名设备或可信显示屏上显示的目标地址，比浏览器或聊天窗口中显示的地址更具可信度。

如果工作站疑似遭到入侵，应对措施也随之改变。泄露的内容可能不仅仅是单笔待处理交易中的错误地址。

它还可能包括恢复材料、私钥、截图以及在同一台机器上执行的命令。这要求将修复工作推进至隔离终端设备、轮换已泄露的钱包材料，以及审查在该设备上准备的任何转账。

检测依赖行为信号

微软的缓解指南侧重于行为层面。该公司建议禁用可移动媒体的自动运行和自动播放功能，在可行情况下通过组策略阻止从可移动驱动器执行 .lnk 文件，限制对 wscript.exe 和 cscript.exe 等脚本宿主的不必要使用，并审查针对混淆脚本和可疑子进程链的攻击面缩减规则。

对于安全团队而言，最有力的信号来自行为层面。微软表示，防御人员应调查脚本引擎启动 curl、cmd.exe、PowerShell 或意外可执行文件的情况。

微软还特别指出，在处理敏感金融工作流程的设备上，应关注 localhost:9050 上的本地 SOCKS5 代理活动、与剪贴板相关的行为，以及 PowerShell 屏幕捕获活动。

这些信号与多项标准 ATT&CK 技术相对应，包括剪贴板数据收集、基于代理的命令和控制，以及计划任务持久化。

Microsoft Defender 还列出了针对 CryptoBandits 的检测能力，包括 Trojan:Win32/CryptoBandits.A 及相关 JavaScript 检测，以及针对可疑 JavaScript 进程、基于 curl 的数据外泄和任务计划程序活动的 EDR 覆盖。

微软的报告未披露受害者数量、确认的盗窃总额、地理分布及具体攻击者归因，这限制了对财务损失规模的评估。

从观察到的行为中得出的托管教训依然成立：钱包工作流程可能在交易到达链上之前就已遭到入侵。

最直接的启示是，加密用户和运营者应将终端设备视为钱包技术栈的一部分。USB 管控、脚本限制、地址核验和剪贴板使用规范，都是自托管安全的组成部分。

它们是交易在到达链上之前所经历的路径。

本文 CryptoBandits 恶意软件让犯罪分子利用您的 USB 驱动器访问加密钱包——微软发出警告 最早发布于 CryptoSlate。