Ai总结： 微软披露新型恶意软件通过感染U盘传播，悄然篡改用户剪贴板中的钱包地址，导致资金被转移。该威胁利用隐蔽通信与自动运行漏洞，对数字资产构成严重威胁，专家建议禁用自动运行并使用离线硬件钱包。

USB设备成加密资产新攻击跳板：恶意软件劫持钱包地址

微软研究团队揭示了一起自2026年2月起持续活跃的网络攻击事件，其核心手段为通过受感染的USB存储设备传播名为Trojan:Win32/CryptoBandits.A的恶意程序。该病毒在用户插入设备后自动激活，秘密修改复制的钱包接收地址，使转账资金流向攻击者控制账户，造成不可逆损失。

隐蔽渗透机制：利用系统漏洞实现无感入侵

当携带恶意代码的U盘接入Windows系统时，程序将借助隐藏快捷方式及跨磁盘镜像复制技术完成潜入。随后，它通过Tor网络建立加密通信链路，有效规避常规安全检测，实现长期驻留而不被察觉。

双重窃取策略：地址替换与私钥提取同步进行

该恶意软件具备双重破坏能力：一方面实时监控剪贴板内容，一旦检测到用户复制钱包地址即自动替换为攻击者指定地址；另一方面则扫描本地文件系统，搜寻可能包含私钥或助记词的敏感数据。若未在交易前人工核对目标地址，资金转移将在无声中完成。

关键防护建议：断开连接与物理隔离是核心

微软提出多项应对措施，包括关闭系统自动运行功能、杜绝使用来源不明的移动存储设备，并在每次转账前手动比对收款地址。最有效的防御方案是采用与互联网完全隔离的硬件钱包，以确保助记词等核心信息不被暴露于可被攻击的环境中。

历史联动：微软持续打击数字货币犯罪生态

此次警报延续了微软对数字资产安全的长期关注。此前，该公司曾发现恶意npm包中嵌入键盘记录器与屏幕捕获工具，用于窃取用户凭证。2025年5月，微软主导跨国行动，成功查封2300个恶意域名，摧毁Lumma Stealer团伙的核心基础设施，彰显其在全球范围遏制网络犯罪的能力。