小心隨身碟!微軟揭露新型「Crypto Clipper」惡意軟體,竊取加密貨幣並開後門
編輯核心觀點
- ✦微軟發現一種新型自我傳播惡意軟體,透過 USB 隨身碟散佈並鎖定加密貨幣錢包資訊。
- ✦該軟體會監控剪貼簿中的錢包地址或助記詞,並在 10 秒內截圖五次,透過 Tor 網路將資料回傳至攻擊者伺服器。
- ✦除了竊取資產,該程式還具備遠端程式碼執行能力,將原本單純的金融竊取工具轉變為輕量級後門程式。

透過 USB 隨身碟散佈的隱蔽威脅
微軟(Microsoft)近日發布資安警報,指出偵測到一種新型的自我傳播惡意軟體,該軟體主要透過 USB 隨身碟進行散佈。一旦受感染的隨身碟插入電腦,隱藏在其中的 .lnk 捷徑檔案便會執行程式碼,檢查該裝置是否已遭感染;若尚未安裝,惡意軟體將透過 Tor 代理伺服器下載並自動部署。為了隱匿行蹤,該軟體還會掃描隨身碟內容,將惡意捷徑檔偽裝成與碟內檔案相似的名稱。
不僅是竊取,更是輕量級後門
微軟將此惡意軟體命名為「Crypto Clipper」。其核心功能在於監控設備的剪貼簿,搜尋符合加密貨幣錢包地址或助記詞(seed phrases)的特定格式。一旦偵測到相關資訊,軟體會在 10 秒內連續進行五次螢幕截圖,並將竊取的憑證與截圖透過 Tor 網路傳送給攻擊者。為了確保傳輸過程難以被追蹤,該軟體利用 SOCKS5 代理伺服器將流量導向 Tor 節點,藉此隱藏發送與接收端的 IP 位址。
該軟體的執行方式相當值得注意,因為它並不依賴傳統的安裝程式或暴露在外的 IP 位址指揮控制(C2)基礎設施。相反地,它部署了一個可攜式的 Tor 客戶端,透過本地 SOCKS5 代理路由流量,並將資料竊取與遠端程式碼執行結合,將一個以財務為動機的竊取工具轉變為輕量級後門。
微軟強調,這種結合了資產竊取與遠端控制的特性,使得 Crypto Clipper 不僅僅是針對加密貨幣錢包的攻擊,更讓攻擊者獲得了在受害設備上執行遠端程式碼的權限,擴大了資安風險。



