據午方 AI 消息，微軟威脅情報團隊披露，自 2026 年 2 月起，一款名爲 Trojan:Win32/CryptoBandits 的新型加密木馬持續活躍，專門針對數字資產用戶發起攻擊。

該惡意程序融合了蠕蟲式傳播機制、剪貼板劫持技術及 Tor 匿名通信協議。其通過移動存儲設備中的僞裝快捷方式植入系統，利用 WScript 和 ActiveX 腳本執行指令，並部署本地 Tor 客戶端，經由 127.0.1:9050 代理服務器連接至洋蔥路由隱藏服務 C2 服務器。攻擊者藉此監控剪貼板、竊取助記詞與私鑰、上傳屏幕截圖，並將複製的加密貨幣地址替換爲受控地址以完成資金盜取。

此外，該木馬具備 USB 傳播、持久化駐留及反分析能力，微軟已通過對異常 WScript 調用、localhost:9050 流量及 PowerShell 截圖行爲的檢測實現攔截。