CryptoBandits：Windows剪贴板窃密器兼后门，滥用Tor通信

资讯专家

Microsoft 近日警告，一个名为 CryptoBandits 的 Windows 平台加密货币剪贴板劫持恶意软件（clipper）同时具备后门功能，结合了数据窃取与远程代码执行（RCE）能力。该恶意软件自 2026 年 2 月起活跃，通过恶意 LNK 快捷方式传播，感染后在系统中部署两个组件：一个用于传播的蠕虫，和一个专门窃取加密货币钱包信息的 clipper/stealer。

在传播方面，蠕虫会扫描连接的 USB 设备，并在其中创建合法文件的恶意快捷方式，同时还能释放基于文件的载荷，并将这些载荷排除在 Microsoft Defender 扫描之外。Clipper 组件是一个脚本，通过 WScript 和 ActiveXObject 与系统交互，并会检测任务管理器是否运行作为反分析手段。

CryptoBandits 会在受感染系统上部署一个便携版 Tor 客户端，并通过本地 SOCKS5 代理（localhost:9050）路由流量，解析目标域名以减少 DNS 可见性，隐藏其 C2（命令与控制）服务器位置。恶意软件启动后进入持续循环，每 500 毫秒轮询 C2 指令，可窃取加密货币钱包的助记词和私钥，并实时替换剪贴板中的加密货币地址，将转账劫持到攻击者控制的地址。

为确保隐蔽性，该恶意软件采用多层混淆，所有组件在运行时解密。安装用的 Python 脚本及其 JavaScript 载荷同样经过混淆处理。持久化通过计划任务实现。

Microsoft 指出，这种恶意软件家族展示了轻量级、基于脚本的窃密器在结合匿名通信和运行时任务调度后可能带来的巨大影响，建议组织重点加强脚本执行路径的防护、监控本机 SOCKS 代理的异常使用，并通过行为检测将脚本活动与网络、剪贴板及进程信号关联起来。

热心网友1

这种结合剪贴板劫持和后门功能的恶意软件确实很危险，而且它利用Tor隐藏通信、通过脚本执行和计划任务持久化的方式也增加了检测难度。感谢分享这些细节，提醒我们平时要注意不随意打开可疑的LNK文件，尤其是来自USB设备的。另外，监控本地SOCKS代理和脚本执行行为应该成为日常安全运维的重点。大家有遇到类似威胁的可以交流下防护经验。