Microsoft表示,该恶意软件将数据盗窃与远程代码执行结合,“将一个有经济动机的窃贼变成轻量级后门”。
Microsoft 威胁情报部门警告 Windows 用户,一种通过 USB 驱动器传播的加密货币剪辑器恶意软件。
Microsoft周三表示,这种自二月以来一直影响用户的恶意软件通过“高频剪贴板盗窃、截图泄露和钱包地址替换”窃取剪贴板数据以提取钱包凭证。
加密剪辑器还会隐藏合法文件,并用相似的快捷方式替换,使受害者在不知情的情况下执行恶意软件,而蠕虫组件则自动传播到USB存储设备。
这种恶意软件之所以隐蔽,不仅是信息窃取工具,它还作为后门,意味着攻击者可以随时向被感染的机器推送和执行任意代码,将简单的加密盗窃变成勒索软件的持续据点。
Microsoft研究人员表示,这款剪辑器的执行还值得注意,因为它不依赖传统安装程序或暴露的基于IP的基础设施。
“这个恶意软件家族展示了轻量级基于脚本的窃取者在与匿名通信和运行时任务结合时,能够带来巨大的影响力。”
用于混淆的Tor网络
该恶意软件在 Windows 文档目录中部署了两个混淆的 JavaScript 负载,并为蠕虫和窃取组件创建了调度任务。
恶意软件还秘密在受害者的电脑上安装了Tor副本,但将其改名为ugate.exe以伪装成无辜的软件。然后它利用匿名化的Tor网络,在隐藏的“洋葱”地址连接恶意操作者。
Microsoft表示:“Tor路由C2、剪贴板定位、截图捕捉和远程代码执行的结合,不仅让攻击者获得即时变现路径,还能持续控制受攻破设备。”
目标私钥和助记词
加密剪辑器聚焦于剪贴板上的“高价值金融文物”,包括BIP39助记词以及比特币和以太坊私钥。
它还会用比特币、Tron和Monero等平台的攻击者控制的钱包地址替换复制的钱包地址,并每十秒截图一次以提供更多上下文。
Microsoft Defender 杀毒软件检测该恶意软件为木马:Win32/CryptoBandits.A。
Microsoft建议关闭可移动介质的自动播放,阻止USB驱动器.lnk执行,并监控代理活动和生成脚本。
2026年,基于Windows的加密窃贼数量显著增加。本月早些时候,Foresiet威胁情报团队发现了一种名为Lucid Stealer的新Windows恶意软件,针对浏览器扩展和加密钱包。
