返回首頁

小心隨身碟!微軟示警:新型「加密貨幣剪貼簿劫持」蠕蟲正透過 USB 擴散

編輯核心觀點

  • 微軟發現名為 Trojan:Win32/CryptoBandits 的惡意軟體,自今年 2 月起透過感染 USB 隨身碟進行傳播。
  • 該蠕蟲會監控 Windows 剪貼簿,竊取加密貨幣私鑰與助記詞,並在用戶轉帳時偷偷置換收款地址。
  • 駭客利用 .lnk 捷徑檔進行偽裝,並透過 Tor 網路將竊取的數據傳輸至攻擊者伺服器。
小心隨身碟!微軟示警:新型「加密貨幣剪貼簿劫持」蠕蟲正透過 USB 擴散

USB 隨身碟成為加密資產竊盜溫床

微軟近日發布資安報告指出,一種被稱為「加密貨幣剪貼簿劫持(Crypto Clipper)」的惡意軟體正透過受感染的 USB 隨身碟在 Windows 電腦間傳播。該惡意程式被 Microsoft Defender 防毒軟體識別為 Trojan:Win32/CryptoBandits,自今年 2 月起便開始活躍。

攻擊流程始於一個包含惡意捷徑檔(.lnk)的隨身碟。當用戶將隨身碟插入電腦並點擊這些偽裝成正常檔案的捷徑時,蠕蟲便會植入系統。一旦執行,該程式會同時進行兩項惡意操作:一是執行竊取加密錢包數據的程式碼,二是掃描電腦是否插入了新的隨身碟,以便將自身複製並擴散至其他儲存裝置。

剪貼簿監控與地址置換

該蠕蟲的竊取機制極具隱蔽性。它會以約 500 毫秒的頻率持續監控 Windows 剪貼簿。一旦用戶複製了比特幣或以太幣錢包的助記詞或私鑰,惡意程式便會立即擷取數據,並透過 Tor 網路傳送至攻擊者的伺服器。此外,該程式還會每隔 10 秒進行一次螢幕截圖,並將截圖一併上傳。

除了竊取金鑰,該蠕蟲還會實施「剪貼簿劫持」。當用戶複製收款地址準備進行轉帳時,惡意程式會在用戶貼上地址前,悄悄將其替換為攻擊者控制的錢包地址,導致資金在用戶毫無察覺的情況下被轉移。

微軟建議的防禦措施

為了防範此類威脅,微軟建議用戶採取以下資安防護措施:

  • 停用卸除式媒體的自動執行(AutoRun)功能。
  • 透過群組原則(Group Policy)封鎖 USB 裝置上的 .lnk 檔案執行。
  • 限制腳本主機(如 wscript.exe 與 cscript.exe)的執行權限。
  • 針對網路流量進行檢測,特別是檢查是否連線至連接埠 9050 的 Tor 代理伺服器。

微軟已公開相關的入侵指標(Indicators of Compromise),包括檔案雜湊值(File Hashes)以及攻擊者用於指令與控制(C2)的 .onion 網域,供資安團隊進行網路排查。

資料來源

本文由 AI 綜合上述來源編譯整理,內容僅供參考;著作權歸原出處所有。

相關文章