登录
注册
登录
注册
语言
简体中文 
皮肤
浅色
深色
系统
币种
USD
关于我们
微软最新发布的加密货币恶意软件研究报告揭示,在自我托管模式下,加密钱包的安全防线正面临严峻挑战。研究指出,一旦 Windows 系统被入侵,攻击者能够轻易更改用户复制的交易地址,在转账签名前窃取种子短语,甚至将屏幕截图及钱包敏感信息直接发送给犯罪团伙。这种名为 CryptoBandits 的恶意软件不仅会窃取钱包密码,还会替换被复制的地址,并通过 Tor 网络与指挥控制服务器建立隐蔽通信。午方 AI 梳理发现,该恶意软件大约每 500 毫秒就会检查一次剪贴板,专门搜寻种子短语、私钥和钱包地址,这意味着用户在进行任何常规操作时,敏感数据都可能瞬间泄露。
此类攻击的传播路径通常始于包含恶意文件的快捷方式,这些文件往往伪装在 USB 存储设备中。在微软分析的具体案例里,这些看似普通的快捷方式实际上隐藏了蠕虫程序。恶意软件会扫描 USB 驱动器中的常见文档,隐藏原始文件,并创建具有相同文件名的新快捷方式来诱骗用户点击。任何用于签名、复制或查看钱包信息的设备都可能成为攻击目标。一旦恶意快捷方式被执行,经过混淆处理的 JavaScript 代码便会植入系统,利用计划任务实现持久化传播。其中一部分任务专门负责向新插入的 USB 驱动器扩散恶意软件,另一部分则专注于执行数据窃取行为。午方 AI 注意到,这类攻击往往始于普通的文件操作过程,一个共享的 USB 驱动器或被复制的文件,都可能使处理钱包操作的终端设备在用户打开任何钱包软件之前就已处于不安全状态。
CryptoBandits.A 报告详细描述了该恶意软件针对钱包管理两个关键环节的攻击逻辑:控制钱包的秘密信息以及接收资金的地址。一旦连接到指挥控制服务器,恶意软件便进入持续循环状态,每隔半秒钟检查一次剪贴板。如果发现种子短语或私钥,它会将其保存在本地并通过 Tor 传出;如果发现被复制的加密货币地址,则会将其替换为攻击者可控的地址。为了逃避粗略检查,恶意软件会针对特定地址格式进行伪装,例如匹配 Bitcoin、Tron 或 Monero 地址的前几个字符,或者仅改变某些 Bech32 格式 Bitcoin 地址的最后一个字符。这种精心设计的替换手段,使得即使用户只检查了部分熟悉字符,也可能在匆忙中蒙混过关。
许多用户存在一个错误假设,认为硬件钱包的保护能够确保交易过程中的每一个环节都是安全的。
然而,硬件钱包虽然能保护签名密钥,却无法保证被入侵计算机的剪贴板内容是安全的。如果用户在受感染的计算机上复制交易所的存款地址或支付地址,恶意软件可能会在用户粘贴之前篡改内容。更严重的是,如果在被入侵的 Windows 系统上输入或复制种子短语,这些信息极有可能被远程窃取。微软表示,恶意软件能够识别 BIP39 格式的种子短语并将其传输至服务器,一旦这类敏感信息泄露,其造成的风险将远远超过单次转账操作。午方 AI 分析认为,对于个人用户而言,钱包安全与所用设备密切相关;而对于团队管理的资金,安全措施必须将终端设备的行为纳入交易审批流程之中。
有效的防范措施在于将相关设备严格区分开来。用于处理钱包操作的设备应尽可能减少执行脚本、打开 USB 驱动器中的快捷方式或通过剪贴板复制敏感信息的机会。当交易流程依赖于复制粘贴操作时,签名设备或可信显示界面上显示的地址,应被视为比浏览器或聊天窗口中显示的地址更具权威性。如果怀疑某个工作站存在安全漏洞,应对措施应包括隔离受影响的终端设备、更换被泄露的钱包信息,以及重新审核在该设备上准备的任何转账操作。安全漏洞的表现形式可能不仅限于待处理的转账地址,还可能包括恢复材料、私钥、屏幕截图以及在同一台设备上执行的恶意命令。
微软提供的缓解建议主要侧重于行为层面的控制,包括禁用可移动存储设备的自动运行功能,通过组策略阻止来自可移动存储设备的恶意代码执行,限制不必要的脚本宿主程序使用,并仔细检查用于防止混淆脚本和可疑子进程链的攻击面缩减规则。对于安全团队来说,行为变化才是最有力的警示信号。微软建议安全人员调查那些导致脚本引擎启动 PowerShell 或其他未知可执行文件的异常情况,同时留意在处理敏感金融事务的设备上出现的本地 SOCKS5 代理活动、与剪贴板相关的操作行为以及 PowerShell 屏幕捕获功能。Microsoft Defender 已具备检测 CryptoBandits 恶意软件的能力,包括识别 Trojan:Win32/CryptoBandits.A 及相关 JavaScript 代码,同时也能检测可疑的 JavaScript 进程、基于 curl 的数据窃取行为以及任务调度程序的相关活动。
尽管微软在报告中未披露受害者的数量、实际被盗资金的数额、地理分布情况或具体的攻击者身份,导致无法准确评估此次攻击造成的财务损失程度,但从观察到的行为可以得出结论:在交易真正进入区块链系统之前,钱包操作流程就可能已经被入侵。因此,对于加密货币用户和从业者来说,应该将所有终端设备都视为钱包安全体系的重要组成部分。控制 USB 设备的使用、限制脚本的执行、验证地址信息的准确性以及严格管理剪贴板的内容,这些都是自我托管模式下保障钱包安全的重要措施,直接决定了交易在进入区块链系统之前的整个流程安全状况。
