微软披露新型加密资产劫持攻击：基于USB的剪贴板篡改威胁

微软安全研究团队揭示了一项自2026年2月起持续运作的恶意软件攻击事件，代号为Trojan:Win32/CryptoBandits.A，主要目标直指数字资产持有者。该程序以受感染的USB存储设备为主要传播媒介，可在用户接入时悄然植入系统并迅速替换复制的钱包地址。

攻击链路剖析：从物理接入到隐蔽通信

攻击始于将带有恶意代码的USB驱动器插入目标计算机。一旦连接，恶意负载通过伪装成快捷方式的文件自动触发，并具备自我复制能力，蔓延至其他本地存储介质。在完成部署后，该程序会借助基于Tor协议的中继节点与远程服务器建立加密通信通道，有效规避常规网络监控。

最致命的环节发生在用户进行资金转移时。该恶意软件以每500毫秒一次的频率扫描系统剪贴板，一旦检测到钱包地址，便在不到半秒内将其替换为攻击者控制的收款地址。若用户未在确认前逐字符比对，资产将被直接转入黑客账户。

除地址篡改外，该恶意程序还会深度扫描本地文件系统，尝试提取私钥及用于恢复钱包的助记词。值得注意的是，助记词作为唯一可恢复全部资产的凭证，一旦泄露即意味着完全丧失控制权。

防御策略升级：从行为习惯到硬件隔离

微软建议用户重构日常数字操作规范，包括关闭Windows系统的自动运行功能、杜绝使用未知来源的移动存储设备，并在执行任何转账前必须手动核对钱包地址中的每一个字符。对于高价值资产持有者，采用离线状态下的硬件钱包被认为是抵御此类攻击最有效的手段。

历史预警回顾：微软主导多轮全球反黑行动

此次发现并非孤立事件。此前，微软已多次警示公众注意嵌入npm包——[email protected]与[email protected]中的隐蔽恶意组件，这些工具可通过远程访问机制窃取键盘输入与屏幕画面，进而泄露钱包凭据。

2025年5月，微软联合多方机构发起针对Lumma Stealer组织的跨国打击行动。依据法院指令，其数字犯罪部门查封了2300个恶意域名；欧洲刑警组织下属的欧洲网络犯罪中心（EC3）和日本网络犯罪控制中心（JC3）则同步关停了分布在欧洲与亚洲的剩余服务器节点，成功瓦解该组织的核心基础设施。

当前案例凸显物理媒介传播威胁的再度兴起，结合剪贴板劫持技术，使个人投资者面临前所未有的验证压力。专家强调，在数字资产交易中实施严格的双重确认流程已成为不可或缺的安全防线。