微软威胁情报部门近期披露了一类名为 Trojan:Win32/CryptoBandits.A 的新型加密货币窃取恶意软件，该威胁自 2026 年 2 月以来在 Windows 生态中持续活跃。与以往针对交易所或智能合约的攻击不同，此类恶意软件完全绕过区块链技术层面的防御，转而直接攻击用户终端设备，通过植入 USB 存储设备中的伪装快捷方式文件进行传播。一旦受害者触发这些看似无害的文件，恶意软件便会静默安装两个核心组件：具备自我复制能力的蠕虫程序，以及专门用于窃取账户信息的模块。午方 AI 梳理发现，该恶意软件在运行后会立即执行多重恶意操作，包括扫描种子短语与私钥、截取屏幕画面、监控剪贴板内容，并通过 Tor 网络维持隐蔽的远程连接。

这种攻击手段的核心逻辑在于利用交易签名前的数据窃取，使得区块链本身的安全机制形同虚设。恶意软件大约每 500 毫秒扫描一次剪贴板，精准搜索 Bitcoin、Tron 和 Monero 等区块链格式的种子短语、私钥及钱包地址。一旦检测到用户复制了交易地址，它会在用户粘贴至钱包或提款界面之前，悄无声息地将地址替换为攻击者控制的地址。为了规避肉眼识别，攻击者精心构造的替代地址往往与原始地址高度相似，极大地增加了受害者的察觉难度。午方 AI 注意到，被窃取的数据通过内置的 Tor 客户端经由 localhost:9050 本地 SOCKS5 代理路由，直接连接至隐藏的.onion 服务，这种架构不仅避免了传统命令与控制服务器的依赖，还使得追踪溯源变得极为困难。

该恶意软件的技术特征显示出极高的隐蔽性，它利用 Windows 系统内置脚本工具而非庞大的安装程序，从而有效规避了常规的文件扫描和网络监控。微软 Defender 虽然已将其识别，但建议安全团队优先采用基于行为的检测方法，因为此类威胁正是为绕过静态文件扫描而设计。由于攻击直接发生在用户设备上，且区块链交易具有不可逆特性，一旦资金被发送至攻击者地址并获确认，通常无法追回或撤销，这使得预防成为唯一有效的防线。午方 AI 分析认为，此次事件深刻揭示了当前加密货币安全领域的结构性弱点：最脆弱的环节已不再是区块链协议或交易所基础设施，而是用户访问这些服务的终端设备。

行业数据进一步印证了这一趋势的严峻性。区块链分析机构 Chainalysis 报告显示，2025 年上半年全球加密货币被盗资金已超过 21.7 亿美元，这一数字不仅超过了 2024 年全年的损失总额，且预计到今年年底将突破 40 亿美元大关。报告同时指出，针对个人的攻击在所有盗窃案件中的占比已攀升至约 23%，这主要归因于攻击者采用了更为复杂的定向定位技术。CryptoBandits 正是这一趋势的典型代表，从经济成本与收益角度考量，直接入侵个人设备窃取资产比攻击加固后的交易所基础设施更为有利。因此，保护用户计算机本身的安全，其重要性已等同于保护存储在其中的数字资产。