登錄
註冊
登錄
註冊
語言
繁體中文 
皮膚
淺色
深色
系統
幣種
USD
關於我們
微軟最新發布的加密貨幣惡意軟件研究報告揭示,在自我託管模式下,加密錢包的安全防線正面臨嚴峻挑戰。研究指出,一旦 Windows 系統被入侵,攻擊者能夠輕易更改用戶複製的交易地址,在轉賬簽名前竊取種子短語,甚至將屏幕截圖及錢包敏感信息直接發送給犯罪團伙。這種名爲 CryptoBandits 的惡意軟件不僅會竊取錢包密碼,還會替換被複制的地址,並通過 Tor 網絡與指揮控制服務器建立隱蔽通信。午方 AI 梳理發現,該惡意軟件大約每 500 毫秒就會檢查一次剪貼板,專門搜尋種子短語、私鑰和錢包地址,這意味着用戶在進行任何常規操作時,敏感數據都可能瞬間泄露。
此類攻擊的傳播路徑通常始於包含惡意文件的快捷方式,這些文件往往僞裝在 USB 存儲設備中。在微軟分析的具體案例裏,這些看似普通的快捷方式實際上隱藏了蠕蟲程序。惡意軟件會掃描 USB 驅動器中的常見文檔,隱藏原始文件,並創建具有相同文件名的新快捷方式來誘騙用戶點擊。任何用於簽名、複製或查看錢包信息的設備都可能成爲攻擊目標。一旦惡意快捷方式被執行,經過混淆處理的 JavaScript 代碼便會植入系統,利用計劃任務實現持久化傳播。其中一部分任務專門負責向新插入的 USB 驅動器擴散惡意軟件,另一部分則專注於執行數據竊取行爲。午方 AI 注意到,這類攻擊往往始於普通的文件操作過程,一個共享的 USB 驅動器或被複制的文件,都可能使處理錢包操作的終端設備在用戶打開任何錢包軟件之前就已處於不安全狀態。
CryptoBandits.A 報告詳細描述了該惡意軟件針對錢包管理兩個關鍵環節的攻擊邏輯:控制錢包的祕密信息以及接收資金的地址。一旦連接到指揮控制服務器,惡意軟件便進入持續循環狀態,每隔半秒鐘檢查一次剪貼板。如果發現種子短語或私鑰,它會將其保存在本地並通過 Tor 傳出;如果發現被複制的加密貨幣地址,則會將其替換爲攻擊者可控的地址。爲了逃避粗略檢查,惡意軟件會針對特定地址格式進行僞裝,例如匹配 Bitcoin、Tron 或 Monero 地址的前幾個字符,或者僅改變某些 Bech32 格式 Bitcoin 地址的最後一個字符。這種精心設計的替換手段,使得即使用戶只檢查了部分熟悉字符,也可能在匆忙中矇混過關。
許多用戶存在一個錯誤假設,認爲硬件錢包的保護能夠確保交易過程中的每一個環節都是安全的。
然而,硬件錢包雖然能保護簽名密鑰,卻無法保證被入侵計算機的剪貼板內容是安全的。如果用戶在受感染的計算機上覆制交易所的存款地址或支付地址,惡意軟件可能會在用戶粘貼之前篡改內容。更嚴重的是,如果在被入侵的 Windows 系統上輸入或複製種子短語,這些信息極有可能被遠程竊取。微軟表示,惡意軟件能夠識別 BIP39 格式的種子短語並將其傳輸至服務器,一旦這類敏感信息泄露,其造成的風險將遠遠超過單次轉賬操作。午方 AI 分析認爲,對於個人用戶而言,錢包安全與所用設備密切相關;而對於團隊管理的資金,安全措施必須將終端設備的行爲納入交易審批流程之中。
有效的防範措施在於將相關設備嚴格區分開來。用於處理錢包操作的設備應儘可能減少執行腳本、打開 USB 驅動器中的快捷方式或通過剪貼板複製敏感信息的機會。當交易流程依賴於複製粘貼操作時,簽名設備或可信顯示界面上顯示的地址,應被視爲比瀏覽器或聊天窗口中顯示的地址更具權威性。如果懷疑某個工作站存在安全漏洞,應對措施應包括隔離受影響的終端設備、更換被泄露的錢包信息,以及重新審覈在該設備上準備的任何轉賬操作。安全漏洞的表現形式可能不僅限於待處理的轉賬地址,還可能包括恢復材料、私鑰、屏幕截圖以及在同一臺設備上執行的惡意命令。
微軟提供的緩解建議主要側重於行爲層面的控制,包括禁用可移動存儲設備的自動運行功能,通過組策略阻止來自可移動存儲設備的惡意代碼執行,限制不必要的腳本宿主程序使用,並仔細檢查用於防止混淆腳本和可疑子進程鏈的攻擊面縮減規則。對於安全團隊來說,行爲變化纔是最有力的警示信號。微軟建議安全人員調查那些導致腳本引擎啓動 PowerShell 或其他未知可執行文件的異常情況,同時留意在處理敏感金融事務的設備上出現的本地 SOCKS5 代理活動、與剪貼板相關的操作行爲以及 PowerShell 屏幕捕獲功能。Microsoft Defender 已具備檢測 CryptoBandits 惡意軟件的能力,包括識別 Trojan:Win32/CryptoBandits.A 及相關 JavaScript 代碼,同時也能檢測可疑的 JavaScript 進程、基於 curl 的數據竊取行爲以及任務調度程序的相關活動。
儘管微軟在報告中未披露受害者的數量、實際被盜資金的數額、地理分佈情況或具體的攻擊者身份,導致無法準確評估此次攻擊造成的財務損失程度,但從觀察到的行爲可以得出結論:在交易真正進入區塊鏈系統之前,錢包操作流程就可能已經被入侵。因此,對於加密貨幣用戶和從業者來說,應該將所有終端設備都視爲錢包安全體系的重要組成部分。控制 USB 設備的使用、限制腳本的執行、驗證地址信息的準確性以及嚴格管理剪貼板的內容,這些都是自我託管模式下保障錢包安全的重要措施,直接決定了交易在進入區塊鏈系統之前的整個流程安全狀況。
