微软警告针对钱包的USB加密剪贴板恶意软件

微软向Windows用户发出了严厉警告，指出一种被称为 "加密剪贴板恶意软件" 的复杂恶意软件正在传播。该恶意软件通过USB驱动器传播，并危及加密货币钱包。自2026年2月以来，该恶意软件通过劫持剪贴板数据窃取私钥、助记词和钱包地址，使攻击者能够在不被察觉的情况下窃取资金。

加密剪贴板恶意软件并不新鲜，但微软威胁情报团队指出了该最新恶意软件使用的独特方法。该恶意软件利用USB LNK蠕虫传播，自动扩散到其他存储设备。此外，它通过Tor网络伪装其基础设施，使用匿名连接与其指挥与控制（C2）服务器通信。根据微软6月17日的分析，该恶意软件将Tor重命名为ugate.exe，进一步隐藏其存在。

恶意软件的工作原理

系统一旦感染，该恶意软件会执行多个阶段。它会安装两个混淆的JavaScript有效负载，并安排任务以维持持久性。加密剪贴板恶意软件会主动监控受害者的剪贴板是否存在加密货币钱包地址——目标包括比特币、以太坊、波场和门罗币——并将其替换为攻击者控制的地址。更进一步的是，该恶意软件每十秒捕获一次屏幕截图，以收集更多上下文信息。

微软Defender已将该恶意软件标记为Trojan:Win32/CryptoBandits.A。研究人员还确认了其后门功能，使得攻击者可以执行任意代码，可能进一步升级为勒索软件攻击。“剪贴板目标、Tor路由的C2和远程执行的结合，使攻击者同时获得即时和长期控制，”微软指出。

财务影响与更广泛的背景

此次活动突显了针对加密货币的恶意软件日益复杂化。区块链分析公司Chainalysis报告称，2025年加密货币盗窃总额达到170亿美元，反映出此类攻击的高盈利性。剪贴板恶意软件只是更广泛趋势的一部分，最近的活动如“Mini Shai Hulud”和“ClipXDaemon”也通过供应链攻击和Linux系统针对钱包。

经济影响显而易见。截至6月19日，比特币（BTC）价格为62,770美元，过去24小时下跌1.78%，市值为1.24万亿美元。考虑到数字资产的高价值，通过恶意软件进行的钱包盗窃可能对零售和机构持有者造成毁灭性影响。

缓解策略

为了降低感染风险，微软建议禁用可移动媒体的自动播放功能，阻止USB驱动器上的.lnk文件执行，并监控代理活动。用户还应在确认交易前逐字符验证钱包地址，因为剪贴板恶意软件常生成相似地址以逃避检测。使用带有设备内地址验证功能的硬件钱包，并在交易所启用提款地址白名单，是额外的保护措施。

对于开发人员和加密货币爱好者，避免非官方软件下载、保持端点保护更新以及仔细检查开源依赖项是必要的步骤。针对加密货币的恶意软件扩展的攻击面凸显了提高警惕的必要性，尤其是在攻击者利用愈发先进的技术（如匿名通信和蠕虫式传播）的情况下。

随着剪贴板恶意软件的快速发展，加密货币行业面临保护资产的艰巨挑战。然而，提升意识和采取主动防御措施可以显著降低成为此类攻击受害者的风险。