微軟威脅情報部門近期披露了一類名爲 Trojan:Win32/CryptoBandits.A 的新型加密貨幣竊取惡意軟件，該威脅自 2026 年 2 月以來在 Windows 生態中持續活躍。與以往針對交易所或智能合約的攻擊不同，此類惡意軟件完全繞過區塊鏈技術層面的防禦，轉而直接攻擊用戶終端設備，通過植入 USB 存儲設備中的僞裝快捷方式文件進行傳播。一旦受害者觸發這些看似無害的文件，惡意軟件便會靜默安裝兩個核心組件：具備自我複製能力的蠕蟲程序，以及專門用於竊取賬戶信息的模塊。午方 AI 梳理發現，該惡意軟件在運行後會立即執行多重惡意操作，包括掃描種子短語與私鑰、截取屏幕畫面、監控剪貼板內容，並通過 Tor 網絡維持隱蔽的遠程連接。

這種攻擊手段的核心邏輯在於利用交易簽名前的數據竊取，使得區塊鏈本身的安全機制形同虛設。惡意軟件大約每 500 毫秒掃描一次剪貼板，精準搜索 Bitcoin、Tron 和 Monero 等區塊鏈格式的種子短語、私鑰及錢包地址。一旦檢測到用戶複製了交易地址，它會在用戶粘貼至錢包或提款界面之前，悄無聲息地將地址替換爲攻擊者控制的地址。爲了規避肉眼識別，攻擊者精心構造的替代地址往往與原始地址高度相似，極大地增加了受害者的察覺難度。午方 AI 注意到，被竊取的數據通過內置的 Tor 客戶端經由 localhost:9050 本地 SOCKS5 代理路由，直接連接至隱藏的.onion 服務，這種架構不僅避免了傳統命令與控制服務器的依賴，還使得追蹤溯源變得極爲困難。

該惡意軟件的技術特徵顯示出極高的隱蔽性，它利用 Windows 系統內置腳本工具而非龐大的安裝程序，從而有效規避了常規的文件掃描和網絡監控。微軟 Defender 雖然已將其識別，但建議安全團隊優先採用基於行爲的檢測方法，因爲此類威脅正是爲繞過靜態文件掃描而設計。由於攻擊直接發生在用戶設備上，且區塊鏈交易具有不可逆特性，一旦資金被髮送至攻擊者地址並獲確認，通常無法追回或撤銷，這使得預防成爲唯一有效的防線。午方 AI 分析認爲，此次事件深刻揭示了當前加密貨幣安全領域的結構性弱點：最脆弱的環節已不再是區塊鏈協議或交易所基礎設施，而是用戶訪問這些服務的終端設備。

行業數據進一步印證了這一趨勢的嚴峻性。區塊鏈分析機構 Chainalysis 報告顯示，2025 年上半年全球加密貨幣被盜資金已超過 21.7 億美元，這一數字不僅超過了 2024 年全年的損失總額，且預計到今年年底將突破 40 億美元大關。報告同時指出，針對個人的攻擊在所有盜竊案件中的佔比已攀升至約 23%，這主要歸因於攻擊者採用了更爲複雜的定向定位技術。CryptoBandits 正是這一趨勢的典型代表，從經濟成本與收益角度考量，直接入侵個人設備竊取資產比攻擊加固後的交易所基礎設施更爲有利。因此，保護用戶計算機本身的安全，其重要性已等同於保護存儲在其中的數字資產。