微软发现新型轻量级后门恶意软件，专门窃取加密货币

微软近日披露，其安全团队检测到一种新型可自我传播的恶意软件，该软件通过USB驱动器扩散，专门搜寻加密货币凭证，并将其发送至攻击者控制的服务器。

微软将这款蠕虫病毒命名为Crypto Clipper，原因在于它能持续监控设备剪贴板的内容，识别与钱包地址或助记词相符的数据模式。一旦发现目标数据，该恶意软件还会在10秒内连续截取5张屏幕截图，随后通过Tor网络将凭证信息和截图一并发送给攻击者。Tor是一种匿名路由协议，通过多个冗余节点转发流量，使日志无法同时记录发送和接收方的IP地址。Crypto Clipper通过SOCKS5代理建立Tor连接，将流量经代理服务器中转后发送至最终目的地。

微软表示："这款剪贴板窃取程序的执行方式十分特殊，它既不依赖传统安装程序，也不依赖基于IP地址的命令控制基础设施。相反，它部署了一个便携式Tor客户端，通过本地SOCKS5代理路由流量，并将数据窃取与远程代码执行融为一体，将一个以牟利为目的的窃取工具演变成了一个轻量级后门。"

据微软介绍，Crypto Clipper通过USB驱动器上的.lnk文件传播。这类文件可存储可执行代码，当感染了病毒的USB设备插入电脑后，代码会首先检测目标机器是否已被感染。若尚未感染，恶意软件便会通过Tor代理将自身下载至目标机器。为了更好地掩盖蠕虫病毒的踪迹，该恶意软件还会扫描受感染的USB驱动器，并将.lnk文件重命名为与原文件相似的名称，以此混淆视听。

Crypto Clipper会持续监控剪贴板内容，识别符合标准格式的12词或24词助记词。一经发现，便会连同截图一起上传至攻击者的服务器。此外，该窃取程序还会将识别到的钱包地址替换为攻击者控制的钱包地址，从而将转账款项直接导入攻击者的账户。微软认为，截图的目的在于为攻击者提供额外的上下文信息，以便其进一步利用。

微软指出："这个恶意软件家族展示了轻量级、基于脚本的窃取程序在与匿名通信和运行时任务调度结合后所能产生的巨大危害。Tor路由的命令控制、剪贴板定向攻击、截图捕获以及远程代码执行的组合，既为攻击者提供了即时获利的途径，也使其能够对受感染设备持续保持控制。"

目前，Microsoft Defender for Endpoint已能检测Crypto Clipper的相关组件，将其识别为"可疑JavaScript进程"和"可能使用Curl进行的数据泄露"。Microsoft Defender防病毒软件则将其标记为Trojan: Win32/CryptoBandits.A。从通用检测角度来看，感染的主要迹象包括：脚本解释器产生可疑子进程、localhost:9050端口出现代理使用行为、PowerShell中出现屏幕截图命令，以及剪贴板内容被检查或加密货币地址被替换等异常现象。

Q&A

Q1：Crypto Clipper是什么类型的恶意软件？它有哪些主要危害？

A：Crypto Clipper是微软发现的一种新型蠕虫病毒，能够通过USB驱动器自我传播。它的主要危害包括：监控剪贴板中的加密货币钱包地址和助记词，将用户的钱包地址替换为攻击者的地址以劫持转账，并通过Tor网络匿名上传窃取的数据和截图。此外，它还具备远程代码执行能力，使攻击者能够长期控制受感染设备。

Q2：Crypto Clipper是如何通过USB驱动器传播的？

A：Crypto Clipper通过USB驱动器上的.lnk文件进行传播。当受感染的USB设备插入电脑时，.lnk文件中存储的可执行代码会自动运行，检查目标机器是否已被感染。若未感染，恶意软件便会通过Tor代理将自身下载安装。为掩盖踪迹，它还会将USB驱动器上的.lnk文件重命名为与正常文件相似的名称，增加识别难度。

Q3：如何检测和防范Crypto Clipper的感染？

A：可以通过以下几种方式检测Crypto Clipper：使用Microsoft Defender for Endpoint，它会将该恶意软件标记为"可疑JavaScript进程"；使用Microsoft Defender防病毒软件，可识别为Trojan:Win32/CryptoBandits.A。感染的常见迹象包括脚本解释器产生可疑子进程、localhost:9050端口出现代理连接、PowerShell中出现截图命令，以及剪贴板内容或加密货币地址被异常替换等。