Microsoft 威脅情報(Threat Intelligence)與 Microsoft Defender 專家於 6 月 17 日表示,一種新的惡意程式家族已自 2026 年 2 月起感染 Windows 裝置。該威脅(現已被 Microsoft Defender Antivirus 標記為「Trojan: Win32/CryptoBandits.A」)是所謂的「clipper」,藉由監控剪貼簿活動來從使用者身上竊取加密貨幣。惡意程式的運作方式是約每 500 毫秒監看一次剪貼簿,並在使用者複製與貼上交易細節時,靜默地將加密貨幣錢包位址替換為攻擊者所控制的位址。這種基於剪貼簿的攻擊方式利用了加密貨幣交易時常見的做法:在交易期間複製錢包位址,使攻擊者能在不告知受害者的情況下重新導走資金。
Microsoft 識別惡意程式散佈方式
根據 Microsoft 的報告,該活動始於在 USB 儲存裝置上散佈的惡意捷徑(.lnk)檔案。惡意程式會包含兩個元件:一個蠕蟲元件負責自我擴散,以及一個竊取器元件負責蒐集錢包資料。蠕蟲會在 USB 裝置中隱藏合法文件,並將其替換為偽裝過的捷徑,因此使用者打開看起來熟悉的檔案時,實際上是在未察覺的情況下啟動惡意程式。
惡意程式也會搜尋種子短語與私鑰,這些是用來解鎖加密貨幣錢包的憑證。為了維持持久性,它會在隱蔽視窗中執行、設定排程工作,並將自身檔案排除在 Defender 掃描之外。惡意程式會檢查工作管理員(Task Manager)是否已開啟,若已開啟就會關閉;這是一種反分析策略,旨在躲避任何正在調查該裝置的人。
CryptoBandits 使用基於 Tor 的基礎設施
Microsoft 表示,CryptoBandits 會部署可攜式 Tor 用戶端,並透過本機代理(proxy)將流量導向隱藏的指揮與控制(command-and-control)伺服器。這種設計使其能夠將竊取資料與遠端程式碼執行結合,將一個貪財的竊取器(stealer)轉變為輕量級後門,可用來執行更多攻擊者指令。基於 Tor 的基礎設施能讓惡意程式維持隱匿的通訊管道,而不必依賴傳統安裝程式或暴露的伺服器。
常見問題(FAQ)
Microsoft 發現的 CryptoBandits 惡意程式是什麼?
CryptoBandits(已被 Microsoft Defender Antivirus 標記為「Trojan: Win32/CryptoBandits.A」)是一種惡意程式家族,會約每 500 毫秒監控剪貼簿活動,並將加密貨幣錢包位址與攻擊者所控制的位址互換。Microsoft 威脅情報與 Microsoft Defender 專家於 6 月 17 日表示,它自 2026 年 2 月起已感染 Windows 裝置。
CryptoBandits 惡意程式如何散佈到裝置?
根據 Microsoft 的報告,該惡意程式會透過散佈在 USB 儲存裝置上的惡意捷徑(.lnk)檔案進行擴散。蠕蟲元件會在 USB 裝置中隱藏合法文件,並將其替換為偽裝過的捷徑;當使用者打開看起來像熟悉檔案時,捷徑會啟動惡意程式。
CryptoBandits 用什麼基礎設施來通訊?
Microsoft 表示,CryptoBandits 會部署可攜式 Tor 用戶端,並透過本機代理(proxy)將流量導向隱藏的指揮與控制(command-and-control)伺服器。這種基於 Tor 的基礎設施使惡意程式能維持隱匿的通訊管道,並執行遠端指令。
