据午方 AI 消息，微软威胁情报团队披露，自 2026 年 2 月起，一款名为 Trojan:Win32/CryptoBandits 的新型加密木马持续活跃，专门针对数字资产用户发起攻击。

该恶意程序融合了蠕虫式传播机制、剪贴板劫持技术及 Tor 匿名通信协议。其通过移动存储设备中的伪装快捷方式植入系统，利用 WScript 和 ActiveX 脚本执行指令，并部署本地 Tor 客户端，经由 127.0.1:9050 代理服务器连接至洋葱路由隐藏服务 C2 服务器。攻击者借此监控剪贴板、窃取助记词与私钥、上传屏幕截图，并将复制的加密货币地址替换为受控地址以完成资金盗取。

此外，该木马具备 USB 传播、持久化驻留及反分析能力，微软已通过对异常 WScript 调用、localhost:9050 流量及 PowerShell 截图行为的检测实现拦截。