微軟威脅情報部門近日向 Windows 用戶發出緊急警示，一種名爲 Crypto Clipper 的惡意軟件正通過 U 盤設備大規模傳播，嚴重威脅用戶數字資產安全。該惡意軟件自今年 2 月首次被發現以來，已展現出高度進化的攻擊特徵，其核心機制在於高頻竊取剪貼板數據、實時截取屏幕截圖以及動態替換錢包地址，從而在用戶毫無察覺的情況下盜取錢包憑證。午方 AI 梳理發現，這種惡意軟件不僅會隱藏系統中的合法文件，還會生成外觀高度相似的快捷方式誘導用戶執行，其內置的蠕蟲組件更會自動感染其他連接的 U 盤設備，形成鏈式傳播效應。

與傳統的依賴安裝程序或基於 IP 地址傳播的惡意軟件不同，Crypto Clipper 採用了更爲隱蔽的植入策略。它會在 Windows 系統的文檔目錄中部署兩個經過混淆處理的 JavaScript 腳本，並分別爲蠕蟲組件和信息竊取組件創建定時任務，確保其在系統重啓後仍能持續運行。微軟研究人員指出，該惡意軟件通過 Tor 網絡進行指令傳輸，這種架構使得攻擊者既能立即獲取經濟利益，又能實現對受感染設備的長期控制，使其從單純的信息竊取工具演變爲一個功能完備的後門。

在攻擊目標的選擇上，Crypto Clipper 精準鎖定剪貼板中的高價值金融信息，包括 BIP39 助記詞以及 Bitcoin 和 Ethereum 的私鑰。更爲危險的是，它會實時監測並替換用戶複製的錢包地址，將其變更爲攻擊者控制的地址，這一機制廣泛適用於 Bitcoin、Tron 和 Monero 等多種加密貨幣。

此外，該惡意軟件每十秒就會自動截取一次屏幕截圖，以收集更多敏感信息，爲後續的針對性攻擊提供數據支持。午方 AI 注意到，這種組合攻擊手段使得攻擊者能夠隨時在受感染機器上執行任意代碼，將單純的加密貨幣盜竊行爲升級爲持續性的勒索軟件攻擊。

針對這一嚴峻的安全威脅，微軟建議用戶立即採取防禦措施，包括禁用可移動存儲設備的自動播放功能，嚴格阻止 U 盤上的.lnk 文件被執行，並密切監控系統中任何異常的代理活動及新生成的腳本文件。數據顯示，2026 年以來，針對 Windows 操作系統的加密貨幣竊取惡意軟件數量呈現顯著增長趨勢。本月早些時候，Foresiet 威脅情報團隊便發現了一種名爲 Lucid Stealer 的新型 Windows 惡意軟件，其攻擊焦點同樣集中在瀏覽器擴展程序和加密貨幣錢包上，顯示出攻擊者正不斷迭代技術以突破現有防禦體系。午方 AI 分析認爲，隨着此類惡意軟件的智能化和自動化程度提升，用戶需建立更深層的主動防禦機制，以應對日益複雜的網絡威脅環境。