小心隨身碟!微軟示警:新型「加密貨幣剪貼簿劫持」蠕蟲正透過 USB 擴散
編輯核心觀點
- ✦微軟發現名為 Trojan:Win32/CryptoBandits 的惡意軟體,自今年 2 月起透過感染 USB 隨身碟進行傳播。
- ✦該蠕蟲會監控 Windows 剪貼簿,竊取加密貨幣私鑰與助記詞,並在用戶轉帳時偷偷置換收款地址。
- ✦駭客利用 .lnk 捷徑檔進行偽裝,並透過 Tor 網路將竊取的數據傳輸至攻擊者伺服器。

USB 隨身碟成為加密資產竊盜溫床
微軟近日發布資安報告指出,一種被稱為「加密貨幣剪貼簿劫持(Crypto Clipper)」的惡意軟體正透過受感染的 USB 隨身碟在 Windows 電腦間傳播。該惡意程式被 Microsoft Defender 防毒軟體識別為 Trojan:Win32/CryptoBandits,自今年 2 月起便開始活躍。
攻擊流程始於一個包含惡意捷徑檔(.lnk)的隨身碟。當用戶將隨身碟插入電腦並點擊這些偽裝成正常檔案的捷徑時,蠕蟲便會植入系統。一旦執行,該程式會同時進行兩項惡意操作:一是執行竊取加密錢包數據的程式碼,二是掃描電腦是否插入了新的隨身碟,以便將自身複製並擴散至其他儲存裝置。
剪貼簿監控與地址置換
該蠕蟲的竊取機制極具隱蔽性。它會以約 500 毫秒的頻率持續監控 Windows 剪貼簿。一旦用戶複製了比特幣或以太幣錢包的助記詞或私鑰,惡意程式便會立即擷取數據,並透過 Tor 網路傳送至攻擊者的伺服器。此外,該程式還會每隔 10 秒進行一次螢幕截圖,並將截圖一併上傳。
除了竊取金鑰,該蠕蟲還會實施「剪貼簿劫持」。當用戶複製收款地址準備進行轉帳時,惡意程式會在用戶貼上地址前,悄悄將其替換為攻擊者控制的錢包地址,導致資金在用戶毫無察覺的情況下被轉移。
微軟建議的防禦措施
為了防範此類威脅,微軟建議用戶採取以下資安防護措施:
- 停用卸除式媒體的自動執行(AutoRun)功能。
- 透過群組原則(Group Policy)封鎖 USB 裝置上的 .lnk 檔案執行。
- 限制腳本主機(如 wscript.exe 與 cscript.exe)的執行權限。
- 針對網路流量進行檢測,特別是檢查是否連線至連接埠 9050 的 Tor 代理伺服器。
微軟已公開相關的入侵指標(Indicators of Compromise),包括檔案雜湊值(File Hashes)以及攻擊者用於指令與控制(C2)的 .onion 網域,供資安團隊進行網路排查。



