微软威胁情报已详细说明了一起被追踪为 Trojan:Win32/CryptoBandits.A 的 Windows 恶意软件活动,描述了一种剪贴板劫持程序:它通过可移动驱动器传播,监控剪贴板活动,并在受害者发送资金之前替换加密货币地址。该恶意软件针对加密领域最常见的习惯之一:复制并粘贴钱包地址,将合法的收款目的地址替换为攻击者控制的地址。这项活动代表了一种面向加密货币的窃取方式,它利用了对 USB 驱动器的信任以及常规交易工作流程。
CryptoBandits 恶意软件监控剪贴板并交换加密货币地址
该恶意软件会监视剪贴板,并用攻击者控制的地址替换已复制的钱包地址。微软的报告称,CryptoBandits 活动使用高频率的剪贴板监控,也可能寻找诸如私钥或种子短语等敏感加密材料。用户复制一个合法的目的地址,但恶意软件会在受害者将其粘贴到交易中之前拦截并替换该地址。区块链转账难以或无法逆转,受害者可能仅在检查交易记录后才意识到发生了什么。
恶意软件通过 USB 驱动器传播,利用恶意快捷方式
微软表示,该恶意软件可通过可移动驱动器传播:它会隐藏真实文档,并用使用熟悉文档名称的恶意快捷方式文件替换它们。用户打开看起来是正常 PDF、电子表格或文档的内容(来自 USB 驱动器),但该快捷方式会改为执行恶意代码。据微软称,该活动还使用 Tor 基础设施用于指挥与控制通信。通过将通信路由到隐藏服务,攻击者可以使恶意软件更难被破坏,也更难让传统网络防御检查。
微软建议在发送资金前进行地址核验
微软的指导包括:在发送资金之前,检查目的地址的首尾字符。对于更大额的转账,用户应使用硬件钱包或钱包屏幕,该屏幕会独立显示地址,而不依赖感染的电脑。用户还应避免打开来自未知 USB 驱动器的文件,保持 Windows 安全工具更新,并对可移动存储上的快捷方式保持怀疑。如果某个驱动器突然显示为快捷链接的熟悉文件,这就是警示信号。该活动以 Windows 为重点,面向依赖复制粘贴流程来输入交易地址的加密用户。
FAQ
CryptoBandits 恶意软件会对加密货币钱包地址做什么?
该恶意软件会监视剪贴板活动,并在受害者将其粘贴到交易之前,用攻击者控制的地址替换已复制的加密货币钱包地址。微软表示,它使用高频率的剪贴板监控,也可能搜索私钥或种子短语。
CryptoBandits 如何传播到其他电脑?
微软报告称,该恶意软件会通过可移动的 USB 驱动器传播:它会隐藏真实文档,并用使用熟悉文档名称的恶意快捷方式文件替换它们。当用户打开看起来是来自 USB 驱动器的正常文件时,快捷方式会改为执行恶意代码。
