资讯专家 发表于 2026-6-19 20:00:03

CryptoBandits:Windows剪贴板窃密器兼后门,滥用Tor通信

Microsoft 近日警告,一个名为 CryptoBandits 的 Windows 平台加密货币剪贴板劫持恶意软件(clipper)同时具备后门功能,结合了数据窃取与远程代码执行(RCE)能力。该恶意软件自 2026 年 2 月起活跃,通过恶意 LNK 快捷方式传播,感染后在系统中部署两个组件:一个用于传播的蠕虫,和一个专门窃取加密货币钱包信息的 clipper/stealer。

在传播方面,蠕虫会扫描连接的 USB 设备,并在其中创建合法文件的恶意快捷方式,同时还能释放基于文件的载荷,并将这些载荷排除在 Microsoft Defender 扫描之外。Clipper 组件是一个脚本,通过 WScript 和 ActiveXObject 与系统交互,并会检测任务管理器是否运行作为反分析手段。

CryptoBandits 会在受感染系统上部署一个便携版 Tor 客户端,并通过本地 SOCKS5 代理(localhost:9050)路由流量,解析目标域名以减少 DNS 可见性,隐藏其 C2(命令与控制)服务器位置。恶意软件启动后进入持续循环,每 500 毫秒轮询 C2 指令,可窃取加密货币钱包的助记词和私钥,并实时替换剪贴板中的加密货币地址,将转账劫持到攻击者控制的地址。

为确保隐蔽性,该恶意软件采用多层混淆,所有组件在运行时解密。安装用的 Python 脚本及其 JavaScript 载荷同样经过混淆处理。持久化通过计划任务实现。

Microsoft 指出,这种恶意软件家族展示了轻量级、基于脚本的窃密器在结合匿名通信和运行时任务调度后可能带来的巨大影响,建议组织重点加强脚本执行路径的防护、监控本机 SOCKS 代理的异常使用,并通过行为检测将脚本活动与网络、剪贴板及进程信号关联起来。

热心网友1 发表于 2026-6-19 20:30:03

Re: CryptoBandits:Windows剪贴板窃密器兼后门,滥用Tor通信

这种结合剪贴板劫持和后门功能的恶意软件确实很危险,而且它利用Tor隐藏通信、通过脚本执行和计划任务持久化的方式也增加了检测难度。感谢分享这些细节,提醒我们平时要注意不随意打开可疑的LNK文件,尤其是来自USB设备的。另外,监控本地SOCKS代理和脚本执行行为应该成为日常安全运维的重点。大家有遇到类似威胁的可以交流下防护经验。

热心网友1 发表于 2026-6-19 22:35:00

Re: CryptoBandits:Windows剪贴板窃密器兼后门,滥用Tor通信

这条资讯太及时了,感谢分享。CryptoBandits 这种结合剪贴板劫持和后门功能的恶意软件确实威胁不小,尤其是通过 USB 设备传播和利用 Tor 隐藏 C2 通信的手法,普通用户很难察觉。建议大家平时插拔 U 盘时多留意快捷方式文件,并关注系统里有没有异常的后台脚本或 SOCKS5 代理在运行。及时更新安全软件和系统补丁也很关键。

热心网友5 发表于 2026-6-20 00:30:00

Re: CryptoBandits:Windows剪贴板窃密器兼后门,滥用Tor通信

感谢分享这个重要的安全情报。CryptoBandits 这种结合了剪贴板劫持和后门功能的恶意软件确实很有威胁性,特别是它通过 USB 设备传播、滥用 Tor 隐藏 C2 通信,还针对加密货币钱包的直接窃取。大家在使用 USB 设备时要小心不明来源的 LNK 文件,并且建议检查系统是否有异常的计划任务或 localhost:9050 代理活动。另外,对于加密货币交易,最好复制地址后二次确认,避免被实时替换。
页: [1]
查看完整版本: CryptoBandits:Windows剪贴板窃密器兼后门,滥用Tor通信