Ai总结： 微软安全团队披露一起自2026年2月起活跃的新型加密货币恶意软件活动，该病毒通过感染USB设备传播，可实时篡改钱包地址。研究指出其利用Tor网络隐藏通信，并窃取私钥与助记词，提醒用户强化物理设备管控与交易核验。

微软揭示新型加密资产劫持程序：基于USB的剪贴板攻击现踪

微软安全研究部门近日披露了一项自2026年2月起持续运作的恶意软件攻击行为，目标直指数字资产持有者。该恶意程序被标记为Trojan:Win32/CryptoBandits.A，主要通过受感染的便携式存储设备进行传播，一旦接入系统即自动替换用户复制的钱包地址，使其资金流向攻击者账户。

攻击链路解析：从物理介质到隐蔽通信

攻击通常始于将携带恶意代码的USB驱动器插入目标计算机。在触发后，恶意软件通过伪装的快捷方式文件加载其核心组件，并具备自我复制至其他本地磁盘的能力。随后，它借助基于Tor协议的中继节点与远程控制服务器建立加密通信通道，实现行为隐匿。

实时篡改机制：剪贴板监控与快速劫持

该程序在运行期间持续扫描系统剪贴板，每500毫秒执行一次检查。一旦检测到钱包地址片段，将在不足半秒内完成替换操作。若用户未手动逐字符核对交易信息，资金极可能被定向转移至攻击方钱包。

深度数据窃取：私钥与助记词同步泄露

除了地址替换功能外，该恶意软件还会主动扫描本地文件系统，搜寻加密钱包相关的配置文件、私钥存储路径及恢复助记词。这些关键凭证一旦被提取，即可完全掌控受害者的数字资产。

防范建议：强化终端与操作习惯

微软建议用户关闭Windows系统的自动运行功能，避免使用来源不明的移动存储设备，并在每一笔转账前对钱包地址的每一个字符进行双重确认。此外，采用离线硬件钱包作为长期保管方案，是抵御此类攻击最有效的手段之一。

历史警示：微软多次打击加密领域犯罪网络

此次事件并非孤立案例。此前，微软已公开警告公众注意两个存在隐蔽后门的npm工具包——[email protected]与[email protected]，它们可远程捕获键盘输入与屏幕画面，进而盗取钱包凭据。

2025年5月，微软主导发起全球协同行动，针对长期活跃的Lumma Stealer组织展开清剿。根据法院指令，微软数字犯罪部门查封了2300个恶意域名；欧洲刑警组织的欧洲网络犯罪中心（EC3）与日本网络犯罪控制中心（JC3）分别中断了欧亚地区剩余服务器的运营，有效瓦解了该组织的基础设施。