插上 U 盘就被盗币?微软披露新型蠕虫病毒 CryptoBandits:剪贴板劫持 + Tor 暗网远控,加密钱包一锅端
你复制粘贴一个加密货币地址,转眼间变成了黑客的钱包——这不是网络段子,而是微软安全团队刚刚披露的一起真实威胁。更可怕的是,这个病毒会像蠕虫一样通过 U 盘自动传播,并利用 Tor 匿名网络隐藏行踪。
一、事件概述:微软曝光 CryptoBandits 恶意软件家族
2026 年 6 月 17 日,微软威胁情报团队(Microsoft Threat Intelligence)发布了一份详细的技术分析报告,披露了一个名为 CryptoBandits(检测名:Trojan:Win32/CryptoBandits.A)的新型恶意软件家族。该恶意软件自 2026 年 2 月起活跃,集 USB 蠕虫传播、加密货币剪贴板劫持、助记词/私钥窃取、Tor 暗网通信、远程代码执行后门 五大功能于一身,是目前已发现的"轻型脚本化窃密木马"中功能最为完备的之一。
二、攻击链路:七步拆解 CryptoBandits 完整杀伤链
第一步:U 盘投毒 —— 你看到的"文档"其实是恶意快捷方式
攻击者将恶意 .lnk 快捷方式文件植入 U 盘。插入电脑后,病毒扫描 U 盘中所有合法文件(.doc、.xlsx、.pdf 等),将原始文件隐藏,并创建同名的恶意快捷方式取而代之。用户双击"文档"的那一刻,感染即告开始。
第二步:感染检测与载荷下载
病毒首先检查主机是否已被感染。若为首次感染,则通过 Tor 网络从 C2 服务器下载完整载荷。载荷以 双重混淆的 JavaScript 形式投递,存放于:
C:\Users\Public\Documents\[5位随机目录]\[5位随机文件名].js
第三步:多层混淆对抗分析
病毒使用了两套独立的混淆方案:
- Python 层:PyArmor 混淆 + PyInstaller 打包
- JavaScript 层:双层混淆,解密后生成实际恶意逻辑
- 反分析:通过 WMI 查询 Win32_Process 检测任务管理器是否运行,若检测到则自动退出
第四步:建立持久化机制
病毒通过 schtasks.exe 创建两个无限期计划任务:
- 一个负责 U 盘蠕虫扩散(监控新插入的 USB 设备,自动感染)
- 一个负责 窃密/剪贴板劫持
计划任务以 XML 格式封装 JavaScript 载荷,绕过脚本文件的直接落地检测。
第五步:部署 Tor 匿名通信通道
病毒内置了一个便携版 Tor 客户端,被重命名为 ugate.exe 以伪装成合法程序。Tor 客户端在本地启动后,在 localhost:9050 上建立 SOCKS5 代理,所有 C2 通信通过该代理路由至 .onion 暗网隐藏服务。攻击者使用了 10 个以上的 .onion 域名作为 C2 基础设施。
C2 通信端点:
|
端点 |
功能 |
|
/route.php |
心跳信标与命令接收 |
|
/recvf.php |
截图等文件回传 |
|
/stub.php |
新版本载荷下载 |
通信格式:HTTP over Tor,POST 请求,使用 curl 传输,认证凭据为受害者 GUID + 地理位置信息(GEIP)。
第六步:核心窃密 —— 剪贴板劫持 + 助记词/私钥窃取
这是 CryptoBandits 最核心的恶意能力,每 500 毫秒轮询一次剪贴板:
|
窃取目标 |
检测方式 |
处理逻辑 |
|
BIP39 助记词 |
匹配 12 或 24 个英文单词序列 |
本地保存 → Tor 外传 → 成功后删除本地痕迹 |
|
以太坊私钥 |
正则匹配十六进制私钥格式 |
外传至 C2 |
|
比特币 WIF 私钥 |
匹配 WIF 编码格式 |
外传至 C2 |
|
BTC 地址(1/3/bc1q/bc1p 开头) |
替换为攻击者控制的同类地址 |
替换策略各异(见下文) |
|
ETH 地址 |
匹配 0x 前缀格式 |
替换为攻击者地址 |
|
TRX 地址(T 开头) |
匹配 TRON 地址格式 |
替换为攻击者地址 |
|
XMR 地址(4/8 开头) |
匹配 Monero 地址格式 |
统一替换为单一攻击者地址 |
地址替换策略极其精细——攻击者会根据不同币种采用不同的"视觉欺骗"方案:
- 比特币传统地址(1 开头):匹配前 2 个字符,让替换后的地址看起来"相似"
- 比特币 Taproot(bc1p 开头):匹配最后 1 个字符
- 门罗币:由于地址不直观,直接使用单一固定地址替换
同时,病毒每 10 秒截取一张屏幕截图(共 5 张),异步外传至 C2,为攻击者提供受害者钱包余额和应用环境的视觉上下文。
第七步:后门能力 —— EVAL 远程代码执行
CryptoBandits 并非"偷完就跑"的简单木马。它支持一个名为 EVAL 的 C2 命令,可执行攻击者推送的任意 JavaScript 代码。这意味着攻击者可以将这个"剪贴板窃贼"随时升级为一款通用型远程访问木马(RAT),用于:
- 下载并执行其他恶意模块
- 横向移动至内网其他主机
- 窃取浏览器密码、Cookie、加密钱包文件
- 部署勒索软件或其他勒索载荷
C2 下发的载荷会写入一个名为 cfile 的文件中,由恶意脚本读取执行。
三、防御规避:六项反检测技术
|
技术 |
实现方式 |
|
进程检测逃避 |
检测到任务管理器即退出 |
|
多层混淆 |
PyArmor + PyInstaller + 双层 JS 混淆 |
|
Defender 排除 |
将自身目录和特定 Windows 二进制文件加入 Defender 扫描排除列表 |
|
计划任务驻留 |
XML 封装脚本,避免 .js 文件落地 |
|
Tor 匿名化 |
所有 C2 流量走 Tor,无 DNS 泄露,无 IP 基础设施暴露 |
|
合法工具利用 |
使用系统自带的 curl、wscript、schtasks 等,不引入可疑第三方工具 |
四、全球威胁态势:加密货币盗窃已进入"工业化"时代
CryptoBandits 的出现并非孤立事件。根据 Chainalysis 数据,2025 年全球加密货币被盗金额高达 170 亿美元,创历史新高。2026 年以来,Windows 平台上已出现多款针对加密货币的恶意软件:
|
恶意软件 |
针对目标 |
|
CryptoBandits(本文) |
助记词、私钥、剪贴板替换 + 后门 |
|
Lucid Stealer |
浏览器扩展中的加密钱包 |
|
Mini Shai Hulud |
剪贴板劫持 |
|
ClipXDaemon |
剪贴板劫持 |
CryptoBandits 的特别之处在于:它以一个"轻型脚本化窃密木马"的形态,集成了蠕虫传播、Tor 匿名通信、远程后门三项通常出现在 APT 级恶意软件中的能力。这标志着加密货币窃密木马的攻击能力正在全面升级。
五、微软 Defender 检测覆盖
微软已为该威胁家族部署了多层检测:
|
攻击阶段 |
Defender 检测 |
|
初始访问/执行 |
EDR: Suspicious behavior by cmd.exe / Suspicious Python library load |
|
载荷执行 |
EDR: Suspicious JavaScript process / Behavior:Win64/PyPowJs.STA |
|
持久化 |
EDR: Suspicious Task Scheduler activity |
|
防御规避 |
Behavior:Win64/ProcessExclusion.ST / PathExclusion.STA/.STB |
|
窃密行为 |
Trojan:Win32/CryptoBandits.A/.B / Trojan:JS/CryptoBandits.A/.B |
|
C2 通信 |
Behavior:Win64/CurlOnion.STA / EDR: Possible data exfiltration using curl |
六、安全建议
对个人用户
- 禁用自动播放:在 Windows 设置中关闭所有可移动媒体的 AutoRun/AutoPlay
- 不信任来源不明的 U 盘:捡到的 U 盘不要插入电脑;他人 U 盘插入前先扫描
- 核实交易地址:在进行加密货币转账前,逐字符核对收款地址——不要依赖"看起来差不多"
- 使用硬件钱包:硬件钱包在设备端完成地址验证,可有效防御剪贴板替换攻击
- 保持 Defender 开启:确保 Microsoft Defender 实时保护和云保护处于开启状态
对企业安全团队
- 组策略阻断:通过 GPO 禁止从可移动驱动器执行 .lnk 文件和脚本宿主(wscript.exe、cscript.exe)
- 启用 ASR 规则:开启 Microsoft Defender 攻击面减少规则,特别是针对混淆脚本和可疑子进程的规则
- 监控 Tor 代理指标:重点监控内网主机对 localhost:9050 的连接请求——这是 Tor SOCKS5 代理的标志性端口
- 行为狩猎:关联分析以下异常行为组合:
- 脚本解释器(wscript.exe/cscript.exe)生成 curl、cmd.exe、PowerShell 子进程
- 指向 C:\Users\Public\Documents\ 的计划任务
- 剪贴板高频访问 + 屏幕截图行为
- 威胁情报集成:将 CryptoBandits 的 IOC(.onion 域名、文件哈希、文件路径模式)纳入 SIEM/XDR 规则
七、结语
CryptoBandits 向我们展示了这样一个现实:一个不到几百 KB 的脚本化恶意软件,借助 U 盘蠕虫传播、Tor 匿名通信、精密的剪贴板替换逻辑和远程后门能力,就可以对全球加密货币用户构成系统性威胁。 它不需要零日漏洞,不需要高级持久化技术——一个被随手捡起的 U 盘,一次对收款地址的"眼见为实",就足以让受害者血本无归。
在加密资产日益普及的今天,剪贴板不再是你可以信任的最后一道关口,它正在成为攻击者最喜欢的攻击面。
