五百毫秒。这个恶意软件每隔这么短的时间就会检查一次你复制的内容,等待你粘贴钱包地址,然后将其替换成窃贼的钱包地址。微软于 2026 年 6 月 17 日公开披露了这一威胁,而它自 2 月以来一直在悄无声息地传播。为什么这很重要?因为它攻击的是我们在使用加密货币时最普通的一个动作:复制并粘贴地址。
它的技术名称是 crypto clipper,也就是加密货币剪贴板劫持器,微软杀毒软件将其识别为 Trojan:Win32/CryptoBandits.A。它通过受感染的 USB 闪存盘在 Windows 系统上传播,币安也曾向其用户发出相关提醒。它并不是一个简单的数据窃取工具:它结合了盗窃、自我传播能力,以及用于远程控制的后门。类似案例可以在 hack 板块中找到。
攻击是如何运作的?
整个攻击链条有序且隐蔽,几乎不需要用户进行任何有意识的点击:
- 受感染的 USB 闪存盘:真实文件会被隐藏,并被伪装成文档的快捷方式替代。
- 执行:一旦打开这个伪装的快捷方式,脚本就会启动并安装蠕虫,同时创建计划任务,以便在系统重启后继续保持活跃。
- 监控:恶意软件每 500 毫秒检查一次 Windows 剪贴板,并定期截取屏幕截图。
- 窃取与替换:它会寻找助记词和私钥;当你复制一个地址时,它会将其替换成攻击者的地址。
- 数据外传:数据会通过 Tor 网络传输,从而隐藏攻击者背后的基础设施。
为什么它比普通 clipper 更危险?
有三个细节提高了它的危险等级。第一个是 Tor 网络:通过本地代理和隐藏地址传输通信,恶意软件几乎让另一端的攻击者变得不可追踪。第二个是后门:除了窃取数据之外,它还允许日后执行其他代码,为勒索软件和新的攻击打开大门。第三个则最为隐蔽。
数字盗窃与文件传输
当它替换你复制的地址时,会生成一个看起来与原地址相似的地址,前几位和后几位字符都很接近,因此草率检查时很难发现被调包。它攻击多种格式的 Bitcoin 地址,同时也针对 Ethereum、Tron 和 Monero。这正是我们在诈骗板块中深入分析的那类陷阱。
如何保护自己?
好消息是,防范措施简单,而且每个人都能做到:
禁用自动运行:关闭可移动设备的 AutoRun 和 AutoPlay,这样 USB 闪存盘就无法自动启动任何内容。
不要信任来源不明的 USB 设备:将任何来源不确定的可移动存储介质都视为潜在感染源。
完整核对地址:在发送资金之前,检查完整地址,不要只看开头和结尾几个字符。
使用硬件钱包:在设备屏幕上确认地址,因为恶意软件无法篡改那里显示的内容。我们会在加密资产托管指南中进一步说明这一点。
归根结底,弱点只有一个:剪贴板。盗窃就发生在那里,在复制与粘贴之间的半秒钟内完成。一个简单却极其有效的习惯,几乎可以化解大部分风险:完整核对地址,并在实体设备上确认。官方更新可继续参考微软和国家网络安全局的信息,而相关案例和攻击动态,我们会在 Bitcoin 板块中持续更新。
