微軟威脅情報已詳細描述一項被追蹤為 Trojan:Win32/CryptoBandits.A 的 Windows 惡意程式攻擊活動,內容包括一種剪貼程式(clipper),會透過可移除式儲存裝置傳播,監控剪貼簿(clipboard)活動,並在受害者匯款之前交換加密貨幣地址。該惡意程式鎖定加密領域中最常見的習慣之一:複製並貼上錢包地址,將合法的收款目的地址替換為由攻擊者控制的地址。這項活動代表一種針對加密的竊取手法,利用對 USB 磁碟機的信任以及例行的交易工作流程。
CryptoBandits 惡意程式監控剪貼簿並交換加密貨幣地址
惡意程式會監看剪貼簿,並將複製到的錢包地址替換為攻擊者控制的地址。微軟的報告指出,CryptoBandits 活動使用高頻率的剪貼簿監控,且也可能尋找敏感的加密內容,例如私鑰或種子短語(seed phrases)。使用者複製一個合法的目的地址,但惡意程式會在受害者將該地址貼到交易中之前攔截並取代它。區塊鏈轉帳難以或不可能逆轉,受害者可能只會在檢查交易記錄後才意識到發生了什麼事。
惡意程式透過 USB 磁碟機以惡意捷徑擴散
微軟表示,該惡意程式能透過可移除式儲存裝置,以隱藏真正的文件並用惡意捷徑檔取代它們,且這些惡意捷徑會使用熟悉的文件名稱。使用者會從 USB 磁碟機中打開看似正常的 PDF、試算表或文件,但該捷徑會改為執行惡意程式碼。微軟也提到,該活動會使用 Tor 基礎設施作為指令與控制(command-and-control)流量。透過路由通訊至隱藏服務,攻擊者能讓惡意程式更難被干擾,也更難讓傳統網路防禦能夠檢視。
微軟建議在送出資金前先驗證地址
微軟的建議包含在匯款前檢查目的地址的第一個與最後一個字元。對於較大金額的轉帳,使用者應使用硬體錢包,或能獨立顯示地址的錢包畫面,且不依賴被感染的電腦。使用者也應避免打開來自未知 USB 磁碟機的檔案、保持 Windows 安全性工具更新,並對可移除式儲存裝置上的捷徑保持警惕。若某個磁碟機突然顯示熟悉的檔案,但實際上是捷徑連結,這是警訊。此活動聚焦於 Windows,並針對依賴複製-貼上工作流程來輸入交易地址的加密貨幣使用者。
FAQ
CryptoBandits 惡意程式會對加密貨幣錢包地址做什麼?
惡意程式會監控剪貼簿活動,並在受害者將加密貨幣錢包地址貼到交易中之前,將已複製的加密貨幣錢包地址替換為攻擊者控制的地址。微軟表示它使用高頻率的剪貼簿監控,且也可能搜尋私鑰或種子短語。
CryptoBandits 是如何傳播到其他電腦的?
微軟的報告指出,該惡意程式會透過可移除式 USB 磁碟機傳播:透過隱藏真正的文件並以使用熟悉文件名稱的惡意捷徑檔取代它們。當使用者打開看似來自 USB 磁碟機的正常檔案時,捷徑就會改為執行惡意程式碼。
