微软提醒 Windows 用户注意 CryptoBandits 剪刀手恶意软件

微软威胁情报已详细说明了一起被追踪为 Trojan:Win32/CryptoBandits.A 的 Windows 恶意软件活动，描述了一种剪贴板劫持程序：它通过可移动驱动器传播，监控剪贴板活动，并在受害者发送资金之前替换加密货币地址。该恶意软件针对加密领域最常见的习惯之一：复制并粘贴钱包地址，将合法的收款目的地址替换为攻击者控制的地址。这项活动代表了一种面向加密货币的窃取方式，它利用了对 USB 驱动器的信任以及常规交易工作流程。

CryptoBandits 恶意软件监控剪贴板并交换加密货币地址

该恶意软件会监视剪贴板，并用攻击者控制的地址替换已复制的钱包地址。微软的报告称，CryptoBandits 活动使用高频率的剪贴板监控，也可能寻找诸如私钥或种子短语等敏感加密材料。用户复制一个合法的目的地址，但恶意软件会在受害者将其粘贴到交易中之前拦截并替换该地址。区块链转账难以或无法逆转，受害者可能仅在检查交易记录后才意识到发生了什么。

恶意软件通过 USB 驱动器传播，利用恶意快捷方式

微软表示，该恶意软件可通过可移动驱动器传播：它会隐藏真实文档，并用使用熟悉文档名称的恶意快捷方式文件替换它们。用户打开看起来是正常 PDF、电子表格或文档的内容（来自 USB 驱动器），但该快捷方式会改为执行恶意代码。据微软称，该活动还使用 Tor 基础设施用于指挥与控制通信。通过将通信路由到隐藏服务，攻击者可以使恶意软件更难被破坏，也更难让传统网络防御检查。

微软建议在发送资金前进行地址核验

微软的指导包括：在发送资金之前，检查目的地址的首尾字符。对于更大额的转账，用户应使用硬件钱包或钱包屏幕，该屏幕会独立显示地址，而不依赖感染的电脑。用户还应避免打开来自未知 USB 驱动器的文件，保持 Windows 安全工具更新，并对可移动存储上的快捷方式保持怀疑。如果某个驱动器突然显示为快捷链接的熟悉文件，这就是警示信号。该活动以 Windows 为重点，面向依赖复制粘贴流程来输入交易地址的加密用户。

FAQ

CryptoBandits 恶意软件会对加密货币钱包地址做什么？

该恶意软件会监视剪贴板活动，并在受害者将其粘贴到交易之前，用攻击者控制的地址替换已复制的加密货币钱包地址。微软表示，它使用高频率的剪贴板监控，也可能搜索私钥或种子短语。

CryptoBandits 如何传播到其他电脑？

微软报告称，该恶意软件会通过可移动的 USB 驱动器传播：它会隐藏真实文档，并用使用熟悉文档名称的恶意快捷方式文件替换它们。当用户打开看起来是来自 USB 驱动器的正常文件时，快捷方式会改为执行恶意代码。