微軟近日發布安全報告指出,自今年 2 月以來,一種透過 USB 隨身碟傳播的新型惡意程式已開始感染 Windows 電腦,專門鎖定比特幣及以太坊等加密貨幣錢包。
偽裝成捷徑檔案,用戶一點擊就中招
微軟將其歸類為「Crypto Clipper」,並在 Defender 防毒系統中標記為「Trojan:Win32/CryptoBandits」。這類惡意程式不僅能竊取助記詞與私鑰,還會在用戶轉帳時偷偷替換收款地址,甚至透過 USB 裝置自我複製、持續擴散。
根據微軟說明,攻擊通常始於一支遭感染的 USB 隨身碟。
其中包含一個偽裝成正常檔案的 Windows 捷徑檔(副檔名為 .lnk)。當使用者插入隨身碟並點擊該檔案後,蠕蟲病毒便會悄悄安裝到電腦中。感染後,病毒會在背景持續執行,同時等待新的乾淨 USB 裝置接入,以便進一步擴散。
這套惡意程式會每隔約 500 毫秒監控一次 Windows 剪貼簿。當使用者複製比特幣或以太坊錢包的助記詞(Seed Phrase)或私鑰時,病毒會立即擷取資料,並透過 Tor 匿名網路傳送到駭客控制的伺服器。
除了文字資訊外,病毒還會每隔 10 秒截圖一次,連續拍攝五張螢幕畫面,一併回傳給攻擊者,以取得更多敏感資訊。
微軟指出,更令人警惕的是其「剪貼簿劫持(Clipper)」功能。當使用者複製收款地址準備轉帳時,病毒會在背景悄悄將地址替換成駭客控制的錢包地址。
由於地址長度相似且過程完全沒有任何提示,使用者若未仔細核對,很可能在不知情的情況下,將資產直接轉入駭客帳戶。
會感染新的 USB,連 Word、Excel 檔案都遭偽裝
除了竊取資產外,這種蠕蟲還具有自我傳播能力。
當新的 USB 隨身碟插入受感染電腦時,病毒會掃描其中的 Word、Excel、PDF 等常見文件,然後將原本檔案隱藏,並建立同名的 .lnk 捷徑檔。
使用者誤以為打開的是原始文件,實際上卻會觸發病毒感染,使整支 USB 成為新的傳播媒介,形成循環擴散。
微軟提供多項防護建議
為降低感染風險,微軟建議 Windows 用戶採取以下措施:
- 關閉可移除裝置的 AutoRun(自動執行)功能;
- 透過群組原則(Group Policy)禁止 USB 裝置中的 .lnk 捷徑檔執行;
- 限制 wscript.exe 與 cscript.exe 等腳本執行工具;
- 使用 Microsoft Defender 的企業客戶,可透過威脅獵捕功能(Hunting Queries)檢查是否存在可疑行為,例如連接本地 Tor 代理的 9050 埠。
此外,微軟也公布了多項入侵指標,包括惡意檔案雜湊值(Hash)以及駭客用來控制受害電腦的 .onion 網域,供企業資安團隊進行檢測。
瞄準加密貨幣用戶,離線備份也可能成為破口
由於許多加密貨幣投資人習慣利用 USB 隨身碟保存錢包備份、私鑰或助記詞,這類透過實體裝置傳播的蠕蟲病毒格外危險。
即使電腦未直接連接網路,只要曾插入遭感染的 USB,仍可能導致敏感資訊外洩,甚至在轉帳時遭到地址劫持。
微軟提醒,用戶在進行加密資產轉帳時,務必逐字確認收款地址,並避免隨意開啟來源不明的 USB 檔案,以降低資產遭竊風險。
