微软发现窃取加密货币的新型轻量级后门

# 微软发现新型轻量级后门，专门窃取加密货币 来源：https://arstechnica.com/security/2026/06/microsoft-spots-new-self-propagating-malware-for-stealing-cryptocurrency/ 微软表示，它检测到一种新型自我传播恶意软件，通过 USB 驱动器扩散，旨在窃取加密货币凭证，随后将这些凭证发送至攻击者控制的服务器。 该公司将该蠕虫命名为 Crypto Clipper，因为它会监控设备剪贴板中的内容，寻找符合钱包地址或助记词模式的数据。当发现此类信息时，该恶意软件还会在 10 秒内截取五张屏幕截图。随后，凭证和屏幕截图均通过 Tor 网络协议发送给攻击者——Tor 通过冗余节点发送流量，使其无法同时捕获发送方和接收方的 IP 地址，从而提供匿名路由。Crypto Clipper 使用 SOCKS5 代理建立 Tor 连接，SOCKS5 是一种通过代理服务器发送流量，再由代理服务器转发至最终目的地的网络协议。 ## 一种轻量级后门 “这种剪贴板恶意软件的执行方式值得注意，因为它不依赖传统的安装程序或暴露的基于 IP 的 C2 基础设施，”微软在周四的声明中表示（https://www.microsoft.com/en-us/security/blog/2026/06/17/crypto-clipper-uses-tor-worm-like-propagation-for-persistence-control/）。“相反，它部署了一个便携式 Tor 客户端，通过本地 SOCKS5 代理路由流量，并将数据窃取与远程代码执行相结合，从而将一种以经济为动机的窃密程序转变为轻量级后门。” 微软表示，它观察到 Crypto Clipper 通过 USB 驱动器中的 .lnk（https://en.wikipedia.org/wiki/Shortcut_(computing)#Microsoft_Windows）文件传播。这些文件存储可执行代码。当受感染的 USB 驱动器插入设备时，代码会检查该恶意软件是否已安装在机器上。如果尚未安装，恶意软件会通过 Tor 代理下载自身。为了更好地隐藏蠕虫的证据，恶意软件会扫描受感染的 USB 驱动器，并以相似的名称命名 .lnk 文件。