吳明宜微軟威脅情報小組與 Microsoft Defender 專家發現一款兼具蠕蟲特性的 Windows 竊密程式,可透過 USB 磁碟散佈,並從受害者電腦的剪貼簿資料竊取加密貨幣錢包憑證,再透過 Tor 連線將竊得資訊暗中傳送出去。
Crypto Clipper 結合 USB 蠕蟲與 Tor 通訊
這款被命名為 Crypto Clipper 的後門程式 Win32/CryptoBandits,自 2026 年 2 月起開始活動。其本質為以金錢為目的的竊密程式,主要鎖定加密貨幣錢包憑證,同時具備 USB 蠕蟲元件(USB Worm)以及透過 Tor 進行匿名通訊的能力。
攻擊手法與偵測重點
這款惡意程式包含兩個元件,分別為可自我複製的蠕蟲元件,以及負責竊取加密貨幣錢包資訊的竊密程式。蠕蟲元件會在發現必要檔案時建立捷徑,並利用 Payload 嘗試避開 Defender 偵測。
竊密元件則透過 WScript 與 ActiveX 物件和 Windows 互動,可檢查系統是否存在安全工具、查詢執行中的程序,若偵測到工作管理員正在執行,便會停止運作。
若環境符合條件,惡意程式會以隱藏視窗啟動 ugate.exe,等待建立 Tor 連線,並向 C2 伺服器註冊受害裝置。之後再接收來自 C2 伺服器的指令,以每 500 毫秒的頻率監控剪貼簿內容,並透過擷圖蒐集加密貨幣錢包相關的助記詞(Seed Phrase)及私鑰,同時將加密貨幣交易地址替換為攻擊者控制的錢包地址。
研究人員指出,Crypto Clipper 的特殊之處在於,並未採用傳統竊密程式常見的 IP-based C2 架構,而是部署可攜式 Tor 用戶端軟體,透過本機 SOCKS5 代理伺服器與 C2 伺服器通訊,並上傳竊得的擷圖資料。此外,它也能執行額外攻擊程式碼,使竊密程式具備輕量級後門功能。
微軟呼籲安全人員檢查多項可疑跡象,包括腳本解析器是否產生異常子程序、 localhost:9050 代理服務是否有活動、 PowerShell 是否執行擷圖指令,以及是否存在監控剪貼簿或替換加密貨幣錢包地址的行為。
此外,也可透過防毒軟體或端點安全產品檢查是否存在可疑 JavaScript 、利用 Curl 進行資料外傳行為,或偵測 Win32/CryptoBandits.A 相關威脅。
來源:微軟