Microsoft 警示:透過 USB 傳播的「加密剪貼簿(Crypto Clipper)」惡意程式竊取錢包資料並自動擴散
目錄
你可能想知道的事
1. 惡意 USB 隨身碟如何擷取加密錢包認證並在不被察覺的情況下重新導向交易?
2. 組織與個人 Windows 使用者可以採取哪些實務步驟來偵測並阻止此類威脅?
主要議題
微軟已通報發現一個透過 USB 擴散、針對 Windows 使用者加密貨幣錢包的惡意程式家族。資安研究人員將此威脅分類為「加密剪貼簿(crypto clipper)」,因其具備雙重行為:既會擷取複製到剪貼簿的敏感錢包資料,也會在使用者貼上收款地址時靜默地將地址替換為攻擊者控制的地址。自二月以來,此惡意程式已被觀察透過可移動媒體傳播,並被 Microsoft Defender 偵測為 Trojan:Win32/CryptoBandits。
感染鏈通常始於一個被感染的 USB 隨身碟,裡面看似正常的檔案實際上是一個具有 .lnk 副檔名的惡意 Windows 快捷方式檔。在 Windows 環境中,.lnk 檔案作為捷徑,引導作業系統開啟特定程式或文件。當使用者將該碟插入電腦並開啟偽裝的捷徑時,系統會執行類蠕蟲的載荷。此載荷會安裝持久性組件以執行兩項協調任務:不斷監控剪貼簿內容以及在插入感染主機的其他可移動磁碟上複製自身。
一旦駐留在系統上,加密剪貼簿會以頻繁間隔持續輪詢 Windows 剪貼簿 — 在遙測中觀察到大約每 500 毫秒一次 — 尋找高價值內容,例如助記詞、私鑰或複製的錢包地址。當它偵測到此類資料時,惡意程式會擷取並外洩到攻擊者控制的基礎設施。微軟報告指出,外洩頻道使用了 Tor 匿名網路,有助於掩蓋攻擊者用以接收竊取資料的指揮控制端點的身份與位置。除了剪貼簿擷取外,惡意程式還會擷取一系列螢幕截圖(例如間隔十秒拍攝五張)並將這些影像轉發到同一遠端伺服器,增加攻擊者得知受害者環境與活動的情境資訊。
對於經常複製與貼上錢包地址的最終使用者而言,或許更具破壞性的是地址替換功能。當使用者將收款地址複製到剪貼簿然後在錢包或交易所的轉帳欄位貼上時,惡意程式會攔截貼上操作並將原本的地址替換為攻擊者控制的錢包地址。由於替換在貼上完成前無形進行,受害者可能會發起看似正常但實際將資金直接送往攻擊者的轉帳,通常不會有任何提示或明顯跡象顯示異常。這種靜默重導特別容易利用人們信任貼上內容而不逐字核對完整地址的習性。
傳播與可移動媒體的使用緊密相連。當乾淨的 USB 碟插入被感染的機器時,蠕蟲會掃描該碟以尋找常見文件類型 — 例如 Word 文件、Excel 試算表與 PDF — 並將那些檔案替換為使用相同檔名的新捷徑 (.lnk) 檔。新放置的捷徑會指回感染主機上的惡意程式或內嵌惡意載荷,使受感染的 USB 成為下一個可能危害使用者開啟捷徑檔所在系統的新載體。此技術利用了常見的使用者行為:人們預期會點擊熟悉的檔名,可能不會注意到該檔案現在是捷徑而非原始文件。
為了減輕此威脅,微軟建議多項適用於個人使用者與企業環境的防禦控制。主要建議包括:停用可移動媒體的自動執行(AutoRun),以避免裝置連接時自動啟動內容;透過群組原則封鎖位於 USB 裝置上的 .lnk 檔執行;以及限制像 wscript.exe 和 cscript.exe 這類常被濫用來執行惡意腳本的腳本主機可執行檔。Microsoft Defender 客戶被建議執行主動獵捕查詢以識別可疑行為,包括與使用 Tor 的惡意程式常相關的意外本地 Tor 代理連線(例如監聽或連線於埠 9050)。
除了設定變更外,微軟發布了一組可供資安團隊用來掃描其環境的妥協指標(IOCs)。這些 IOC 包括已知惡意二進位檔的檔案雜湊值、捷徑檔生成模式,以及攻擊者指揮控制基礎設施所使用的 .onion 網域。網路防禦者應將這些 IOC 與端點與網路日誌交叉比對以尋找妥協證據,並採取遏止步驟,例如隔離受影響系統、移除受感染的可移動媒體,以及在需要時從已知良好備份還原。
從威脅建模的角度來看,該惡意程式利用了可預測的人為與系統行為:打開熟悉檔名的傾向、在複雜錢包地址上依賴複製貼上,以及許多 Windows 系統對可移動媒體的寬鬆預設行為。因此,有效的防禦應結合技術性控制(封鎖名單、政策變更、端點偵測)與使用者安全意識訓練,強調檢查檔案類型、在貼上前核對完整錢包地址,並將未知 USB 裝置視為可能有害。對於高風險持有加密資產的組織,還應考慮多重簽章錢包與硬體錢包解決方案,即使剪貼簿資料遭到外洩也能降低未授權轉帳的風險。
最後,及時修補與良好端點衛生仍然很重要。雖然此特定活動以社交工程與可移動媒體向量為主,而非利用特定未修補的漏洞,但保持系統更新與在端點政策執行上保持紀律,可減少攻擊者能利用的向量範圍,並簡化偵測、回應與復原工作。
關鍵見解表
| 面向 | 描述 |
|---|---|
| 威脅類型 | 透過 USB 傳播的「加密剪貼簿」(Trojan:Win32/CryptoBandits),竊取錢包資料並替換地址。 |
| 感染向量 | 位於可移動 USB 碟上的惡意 .lnk 捷徑,開啟時會安裝蠕蟲。 |
| 核心行為 | 監控剪貼簿(約 500 毫秒間隔)、透過 Tor 外洩助記詞/私鑰、擷取螢幕截圖,並交換錢包地址。 |
| 傳播方式 | 將乾淨 USB 碟上的文件替換為同名的捷徑檔以感染其他系統。 |
| 偵測指標 | 檔案雜湊、.onion C2 網域、在埠 9050 的 Tor 連線、可移動媒體上異常的 .lnk 檔案建立。 |
| 緩解措施 | 停用 AutoRun、封鎖 USB 上的 .lnk 執行、限制腳本主機、執行 Defender 偵測查詢、使用硬體/多重簽章錢包。 |
後續事項…
展望未來,防禦者應在混合使用環境中將可移動媒體視為高風險,並更新端點政策以限制自動執行行為。資安團隊必須將已發布的雜湊與 Tor 端點的 IOC 整合到常規監控中,並優先進行使用者教育,說明核對貼上的錢包地址與處理未知 USB 的正確做法。對於個人與組織持有加密資產者,增加交易防護措施(如硬體錢包、手動地址驗證工具與多重簽章安排)可實質降低剪貼簿竊取與地址替換攻擊的影響。資安廠商、研究人員與管理者之間持續的資訊分享,對遏止類似 USB 植入活動的擴散並隨著攻擊者演進調整偵測簽章,將至關重要。
