鼓狮财经快讯:微软揭露新型加密木马,2026年潜伏的数字资产杀手
微软威胁情报团队近日发布了一份引人注目的安全警报,披露了一款名为“CryptoBandits”的恶意软件。这款木马自 2026 年 2 月起便开始活跃,其设计目标非常明确——锁定加密货币用户。攻击者采用了“蠕虫式传播+剪贴板劫持+Tor 匿名通信”的三位一体攻击策略,试图在隐蔽性和破坏性之间找到完美的平衡点。
该恶意程序的传播手段极其狡猾。它利用伪装的快捷方式文件在可移动存储设备之间迅速扩散,一旦用户插入 U 盘等设备,便会触发感染。微软分析显示,该木马通过 WScript 和 ActiveX 执行复杂的脚本逻辑,不仅实现了自我复制,还具备了蠕虫病毒般的传播能力,能够在不同设备间自动蔓延。
为了确保能够长时间潜伏并躲避追踪,该木马构建了一个隐蔽的通信网络。它会自动部署本地的 Tor 客户端,通过 127.0.0.1:9050 代理连接到 .onion 隐藏服务的 C2 服务器。这种基于洋葱路由技术的通信方式,使得攻击者能够实现完全匿名的控制与数据回传,极大地增加了溯源的难度。
攻击链的核心在于对用户资产的直接掠夺。该木马具备持续监控剪贴板内容的能力,一旦发现用户正在复制加密货币相关的信息,便会立即采取行动。它不仅会窃取用户的助记词和私钥,更可怕的是实施了“地址替换”技术。当用户复制合法的收款地址时,木马会迅速将其替换为攻击者控制的钱包地址,从而在用户不知情的情况下,将转账资金转移至黑客账户。
除了资金劫持,该木马还具备极强的持久化生存能力。它会在感染设备上创建计划任务,确保每次开机后都能自动运行。同时,它还内置了基础的反分析机制,能够检测任务管理器进程,一旦发现调试迹象便会规避运行,进一步保护其恶意代码不被轻易提取和分析。
针对此类威胁,微软已将其归类为 Trojan:Win32/CryptoBandits 系列。安全团队通过监控 WScript 的异常调用、本地代理的异常流量以及 PowerShell 的截图行为等特征,成功实现了对该木马的识别与拦截。安全研究人员强烈建议用户重点加强对脚本执行路径的防护,并密切监测本地代理的异常流量,以构筑坚固的防御防线。