USB 蠕蟲攻擊鎖定比特幣(BTC)、以太幣(ETH) 微軟示警新型加密貨幣剪貼簿木馬大規模感染 Windows
06-19 , 19:33 /

透過「USB」擴散的惡意程式正大規模感染「Windows」個人電腦,並鎖定「比特幣(BTC)」與「以太幣(ETH)」等加密錢包關鍵資訊,攻擊手法相當精細。使用者只要執行看似普通的檔案,就可能在毫無察覺的情況下遭到資產竊取。

根據「微軟(Microsoft)」近日於官方部落格發布的技術報告顯示,這類藉由「USB 儲存裝置」擴散的惡意程式,被歸類為「加密貨幣剪貼板竊取程式(Crypto Clipper)」家族之一,並在旗下防毒產品中以「Trojan:Win32/CryptoBandits」識別。微軟指出,自 2 月起,相關攻擊樣本已持續在「Windows」個人電腦環境被發現,顯示攻擊行動仍在進行中。

在感染途徑方面,攻擊者會預先在「惡意 USB」中植入副檔名為「.lnk」的捷徑檔。當使用者誤以為這是正常的安裝程式、文件或資料夾入口並加以點擊時,系統實際啟動的卻是隱藏其中的惡意程式,而非原本預期的應用程式。隨後,具有「蠕蟲(Worm)」特性的惡意程式會被安裝到系統中,並在背景長期常駐,以便執行後續一連串與「加密貨幣」相關的竊取行為。

安裝完成後,惡意程式會以約「0.5 秒」為間隔持續監控「Windows 剪貼簿」。一旦偵測到使用者複製了「比特幣(BTC) 錢包私鑰」、「以太幣(ETH) 錢包私鑰」或「助記詞(Seed Phrase)」等敏感資訊,惡意程式便會立即截取這些資料,並傳送至攻擊者控制的伺服器。「詞:剪貼簿監控」與「詞:私鑰竊取」因此成為本次攻擊的關鍵風險點。

這些外流資訊並非直接走一般網路路徑,而是透過匿名通訊網路「Tor」進行傳輸,增加追蹤難度。與此同時,惡意程式還會每隔約「10 秒」擷取多張螢幕畫面,將使用者當下操作情況一併上傳。由於整個過程在背景悄悄進行,受害者很難從系統表面異常來察覺遭入侵。

更具威脅性的是,當使用者進行「加密貨幣轉帳」操作時,此惡意程式會直接介入資金流向。常見流程是,使用者從交易所或錢包介面複製「收款地址」,接著切換到另一視窗準備貼上。然而,在這個複製與貼上的間隙中,惡意程式會即時將剪貼簿中的合法錢包地址,悄悄替換成攻擊者事先設定的收款地址。等到使用者在轉帳欄位按下貼上時,實際填入的已是遭到「變造」的地址,如果沒有特別比對字串或習慣只看開頭與結尾部分,就極可能在不知情的情況下,將比特幣(BTC)、以太幣(ETH) 等資產直接匯入攻擊者的錢包。

「評論」:這類「地址替換攻擊」在加密貨幣領域並不罕見,但結合「USB 感染」與「剪貼簿竊取」成套運作,使得風險從單一設備擴散到多台電腦與多個使用者環境,放大了社交工程與技術攻擊的綜合破壞力。

在擴散機制上,該惡意程式同樣具備明顯的「自我複製能力」。一旦有新的 USB 裝置插入已遭感染的電腦,惡意程式會掃描 USB 內容,將原有的正常檔案以「同名捷徑檔」替換,實際檔案則被隱藏或移到其他位置。這些捷徑外觀上仍像是一般的 Word、Excel、PDF 或資料夾圖示,使用者通常不會起疑,一旦開啟,就再次觸發惡意程式在新電腦上安裝。如此一來,一支遭感染的 USB,可能在辦公室、學校、網咖與家庭環境中,持續將惡意程式擴散到其他 Windows 裝置,形成「詞:鏈式感染」、「詞:USB 蠕蟲式擴散」的連鎖結構。

面對這類透過「USB」攻擊「加密貨幣使用者」的威脅,「微軟」提出多項具體防護建議。首先,建議停用「可攜式儲存裝置」的自動執行(AutoRun)功能,避免插入 USB 時自動執行捷徑或安裝程式。其次,企業與進階使用者可透過「群組原則(Group Policy)」限制執行 USB 中的「.lnk 捷徑檔」,並對「wscript.exe」與「cscript.exe」等腳本執行工具施加額外限制或白名單控管,以阻斷常見的惡意腳本載入路徑。

對於使用「Windows Defender」等內建防護方案的環境,微軟建議安全團隊加強監控是否存在可疑的「Tor 代理連線」,例如對「9050 埠」等常見 Tor Proxy 連接埠進行流量分析與異常行為偵測。同時,微軟也已公開本次攻擊行動所使用的「檔案雜湊值(Hash)」與「.onion 網域」等「詞:入侵指標(IOC)」,企業資安團隊可依此比對內部系統與網路紀錄,評估是否已遭相關家族惡意程式入侵。

「評論」:從微軟釋出的技術細節來看,攻擊者顯然將目標鎖定在「持有或頻繁交易加密貨幣的 Windows 用戶」,不僅試圖直接竊取「私鑰」與「助記詞」,也積極攔截鏈上轉帳流程。這意味著,即便使用者未將完整私鑰存放於文字檔,只要在匯款過程中複製錢包地址,也可能成為攻擊目標。

本次透過「USB」這一日常工具進行的攻擊,再次暴露出「加密貨幣安全」長期存在的薄弱環節:多數使用者對「離線裝置」與「外接儲存媒介」的風險認知不足。當前,加密貨幣生態中「詞:地址確認習慣」、「詞:冷錢包操作流程」、「詞:多重簽章錢包」等安全機制已漸趨普及,但只要在其中一個環節疏忽,像是隨意使用未知來源的 USB、未關閉 AutoRun、或未養成「逐字比對轉帳地址」的習慣,都可能讓精心部署的安全架構在「一次錯誤點擊」中瓦解。

對一般用戶而言,降低風險的實務作法包括:避免使用來路不明的 USB、將重要錢包操作盡量與日常上網設備隔離、在每次轉帳前仔細核對完整地址字串,以及避免將私鑰或助記詞以純文字形式長期存放在常用電腦中。對企業與交易平台來說,則須持續更新惡意程式防護與終端偵測機制,並針對內部人員進行 USB 使用規範與加密貨幣安全教育。

在「比特幣(BTC)」、「以太幣(ETH)」與整體加密資產市值持續成長的當下,每一次針對錢包與私鑰的攻擊行動,都在提醒市場:加密貨幣帶來去中心化財富的同時,也將資安責任更直接地交還給使用者本身。如何從最基本的操作行為做起,避免因一個 USB 或一次檔案點擊而造成無法挽回的資產損失,將是每位加密貨幣參與者都必須正視的課題。

推薦
北韓疑涉駭 Humanitiy Protocol(H)!3,600 萬美元 H 代幣遭盜 揭示加密貨幣組織級資安新風險

06-14 , 22:21

日本修法將比特幣(BTC)、以太幣(ETH)納入金融商品 稅率恐由55%降至20%、比特幣ETF啟動在即

06-12 , 18:10

比特幣(BTC)創高、瑞波幣(XRP)原地踏步:花旗內部文件用詞更動再點燃「價格遭壓抑」疑雲

06-11 , 15:49

SBI 新生銀行推存款利息加密貨幣兌換券 比特幣(BTC)、以太幣(ETH)、瑞波幣(XRP)成日本合規加密資產新入口

06-10 , 14:21

日本SBI新生銀行試點存款利息兌換比特幣(BTC)、以太幣(ETH)、瑞波幣(XRP),打造連結銀行存款與加密貨幣的新模式

06-10 , 14:21

瑞波幣(XRP)抗跌勝比特幣(BTC)與 Solana(SOL),LiquidChain L3 流動性基礎設施成資金新焦點

06-10 , 12:18

Circle 推出合成比特幣 cirBTC 搶攻機構級 DeFi 市場、正面對決 Coinbase 及 wBTC

06-10 , 11:31

Solana(SOL)在極端恐懼中逆勢大漲6.5% SOL/BTC 比率走高突顯資金從比特幣(BTC)轉向高β資產

06-10 , 11:31

比特幣(BTC)恐慌情緒升溫,資金悄然轉向以太幣(ETH)、Hyperliquid、Bittensor(TAO)等山寨幣

06-10 , 11:31

比特幣(BTC)穩居加密貨幣龍頭:減半週期、監管政策與宏觀經濟如何牽動最新市場走勢?

06-10 , 10:19

加密貨幣市場急跌:約勢升溫席捲以太幣(ETH)、瑞波幣(XRP)、艾達幣(ADA)、幣安幣(BNB)與 Hyperliquid

06-08 , 11:15

比特幣(BTC)重挫、資金轉戰SpaceX IPO?ETF連續淨流出、Bitcoin Hyper 等早期 Layer2 搶鏡

06-08 , 11:15

Polymarket 爭議:Strategy 比特幣(BTC) 賣出時間認定惹議,UMA 預言機與去中心化治理遭質疑

06-04 , 16:04

現貨比特幣(BTC) ETF連13日失血逾43億美元 資金撤出擴散至以太幣(ETH)、山寨幣ETF引爆流動性與價格壓力

06-04 , 15:19

以太幣(ETH)暴跌重創企業型加密投資:비트마인浮虧近 89 億美元,「策略模型」遭遇關鍵壓力測試

06-04 , 15:02