新型恶意软件威胁加密钱包：USB设备成静默载体

新型恶意软件威胁加密钱包：USB设备成为无声载体

微软近日发出警告，自二月份以来，一种新发现的恶意软件正通过USB设备入侵Windows用户的加密钱包。该威胁被称为“加密剪贴板劫持器”，微软Defender防病毒解决方案将其识别为Trojan:Win32/CryptoBandits。

恶意软件如何传播？

该恶意软件通过受感染USB上的欺骗性快捷方式文件（.lnk）发起攻击。该文件看似用于打开程序的工具，但一旦被激活，便会释放出类似蠕虫的强大恶意软件，嵌入主机系统，为进一步扩散创造条件。

安装后，它会在后台持续运行。首先，它会从加密钱包中提取关键数据。此外，该恶意软件会密切关注**新连接到已感染机器的USB设备，从而确保能够跳转到新设备上，并在系统间悄无声息地扩散。

微软警告称：“该恶意软件会持续监视剪贴板内容，截取种子短语、私钥和转账地址等敏感数据，并通过Tor网络将所有截获的信息回传。当用户复制钱包地址时，恶意软件会悄然将其替换为攻击者的地址，**导致未经授权的资金转移。”

哪些数据面临风险？

该恶意软件每500毫秒就会监视一次Windows剪贴板。这种近乎持续的监视能够捕获或等主流钱包的种子短语或私钥等关键信息。此外，它还会在**的时间间隔内秘密截取最多五张屏幕截图，并将其回传给外部实体。

主要风险在于它能够悄无声息地替换转账地址。用户复制收款人地址时，可能会在不知情的情况下将交易发送到攻击者控制的地址，从而在没有**明显迹象的情况下危及加密资产。

此外，“USB通道”尤为关键。当检测到干净的USB时，恶意软件会检查其中是否存在Word、Excel或PDF文件，并将其转换为同名快捷方式文件，从而在不引起警觉的情况下感染该驱动器，并在其他设备连接时继续感染循环。

微软建议用户采取以下预防措施：禁用可移动介质的自动运行功能；通过组策略阻止USB上的.lnk文件执行；限制脚本宿主如wscript.exe和cscript.exe；运行潜在入侵指标的扫描。同时必须提高警惕，持续检查可疑连接或活动，特别是围绕端口9050上的Tor代理，这是应对这一日益严重威胁时加强网络安全措施的一部分。采取预防措施对于有效保护宝贵的加密资产免受此类隐蔽威胁至关重要。