複製貼上錢包地址就中招?微軟示警新型 Windows 惡意軟體 CryptoBandits
編輯核心觀點
- ✦微軟資安團隊揭露名為 CryptoBandits 的惡意軟體,會透過偽裝成捷徑的檔案在 USB 隨身碟中散播。
- ✦該軟體能即時監控剪貼簿,將使用者複製的加密貨幣錢包地址替換為駭客控制的地址,導致資金遭竊。
- ✦除了剪貼簿監控,該惡意程式還會搜尋私鑰與助記詞,並利用 Tor 網路隱匿指揮中樞,增加防禦難度。

加密貨幣交易的新威脅:剪貼簿劫持
加密貨幣資產的竊盜手段不僅限於交易所遭駭或智慧合約漏洞,一種更隱蔽的攻擊方式正威脅著一般使用者。微軟威脅情報中心(Microsoft Threat Intelligence)近日發布報告,詳細說明了一項針對 Windows 系統的惡意軟體活動,代號為 Trojan:Win32/CryptoBandits.A。這類惡意程式屬於「剪貼簿劫持者(Clipper)」,其運作核心在於監控使用者的剪貼簿行為,並在交易發送前將目標錢包地址替換為駭客控制的地址。
由於區塊鏈交易具有不可逆的特性,一旦資金轉出並獲得確認,受害者幾乎無法追回損失。微軟指出,CryptoBandits 不僅僅是簡單的地址替換,它還具備搜尋私鑰(Private Keys)與助記詞(Seed Phrases)等敏感加密資訊的能力,這使得它對加密貨幣持有者構成高度威脅。
透過 USB 隨身碟散播的蠕蟲機制
CryptoBandits 的傳播方式具有類似蠕蟲的特性,主要透過可攜式儲存裝置(如 USB 隨身碟)進行擴散。駭客會將隨身碟內真實的檔案隱藏,並以偽裝成常見文件名稱(如 PDF 或試算表)的惡意捷徑檔案取而代之。當使用者誤以為開啟正常文件而點擊這些捷徑時,便會觸發惡意程式碼執行。
此外,根據微軟的分析,該惡意軟體利用 Tor 基礎設施進行指揮與控制(Command-and-Control)流量傳輸。透過路由隱藏服務,駭客能有效規避傳統網路防禦系統的檢測,增加資安人員追蹤與中斷攻擊的難度。
資安防禦建議:別過度依賴複製貼上
面對此類威脅,微軟建議加密貨幣使用者應採取更嚴謹的交易習慣:
- 核對地址:發送資金時,切勿僅依賴複製貼上,務必核對目標地址的首尾字元。
- 使用獨立設備:針對大額轉帳,建議使用硬體錢包或能獨立於受感染電腦之外顯示地址的螢幕進行確認。
- 警惕隨身碟檔案:避免開啟來源不明的 USB 隨身碟檔案。若發現隨身碟內的檔案突然變成捷徑圖示,應視為嚴重的資安警訊。
- 保持系統更新:確保 Windows 安全工具維持在最新狀態,以應對不斷演變的攻擊手法。
雖然此波攻擊目前主要針對 Windows 系統,但其背後的資安邏輯適用於所有平台:在確認簽署任何交易之前,務必再次驗證目的地資訊,因為惡意軟體只需要一次疏忽,就能將剪貼簿的小動作轉化為永久性的資產損失。



