Svmuu訊 微軟公司威脅情報團隊官方公佈一款自 2026 年 2 月起活躍的 Windows 加密木馬威脅,該惡意軟件結合“蠕蟲式傳播+剪貼板劫持+Tor 匿名通信”,針對數字資產用户實施攻擊。
微軟分析指出,該惡意程序通過偽裝的快捷方式(.lnk)文件在可移動存儲設備間傳播,並利用 WScript 與 ActiveX 執行腳本邏輯,自動部署本地 Tor 客户端,通過 127.0.0.1:9050 代理連接。onion 隱藏服務 C2 服務器,實現匿名控制與數據回傳。攻擊鏈包括多重惡意能力:持續監控剪貼板內容、竊取助記詞與私鑰、截屏上傳,並在用户複製加密貨幣地址時進行“地址替換”,將目標地址替換為攻擊者控制的錢包地址,從而實現資金劫持。
此外,該木馬還具備蠕蟲傳播能力,可自動在 U 盤等設備中複製自身,並創建計劃任務實現持久化運行,同時具備基礎反分析能力(檢測任務管理器以規避調試)。
在檢測層面,微軟已將其識別為 Trojan:Win32/CryptoBandits 系列,並通過行為特徵(如 WScript 異常調用、localhost:9050 代理流量及 PowerShell 截圖行為)進行攔截。安全研究人員建議重點防護腳本執行路徑及本地代理異常流量監測。