USB设备引燃加密资产安全危机：恶意程序悄然劫持转账地址

微软研究团队近日揭示一场自2026年2月起持续活跃的高级威胁活动，其核心为名为Trojan:Win32/CryptoBandits.A的恶意软件，正通过感染的USB存储设备对全球范围内的加密货币持有者实施隐蔽攻击。该程序能在用户无感知状态下修改复制的钱包接收地址，致使资金被定向转移至攻击者账户。

攻击链路解析：从插入到通信隐蔽化

一旦受感染的U盘接入系统，恶意代码即刻启动。它利用伪装的快捷方式与跨介质复制机制渗透进Windows环境，并借助Tor网络进行数据中继，有效隐藏其通信路径，规避常规安全检测。

该恶意程序在交易环节表现出高度针对性：持续监控剪贴板内容，一旦检测到用户复制的钱包地址，便立即替换为攻击者控制的虚假地址。若用户未在确认阶段人工核验目标地址，资金将被迅速转走且难以追回。

研究指出，此威胁具备双重破坏力——不仅实现地址篡改，还主动扫描本地文件，搜寻并提取私钥与助记词等敏感信息，构成全面性资产盗取。

关键术语释义：助记词为何是安全命门？

助记词由12或24个随机生成的词汇组成，是恢复加密钱包的核心凭证。一旦落入不法分子之手，即可完全掌控用户的全部数字资产，无需任何额外验证。

防御策略升级：从行为规范到硬件隔离

微软建议采取多层防护措施以应对这一威胁：首先关闭系统自动运行功能，杜绝未知来源的移动设备自动执行；其次，在使用外部存储设备前进行严格安全审查；最后，务必在每笔转账前手动核对收款地址。

更进一步，推荐采用与网络断开连接的硬件钱包来保管助记词和私钥，从根本上切断远程攻击的可能性，提升资产安全性。

历史警示：微软持续打击数字货币犯罪生态

此次警报延续了微软对数字资产领域威胁的长期监控。此前，其曾发现恶意npm包嵌入键盘记录与屏幕截取功能，严重威胁用户身份认证信息。

2025年5月，微软主导国际协作行动，成功瓦解Lumma Stealer勒索软件团伙，没收2300个恶意域名并摧毁其核心运营基础设施，显著削弱其攻击能力。

当前分析显示，基于物理媒介的攻击手段再度显现。面对不断演化的攻击模式，用户必须强化安全意识，坚持在每一次交易前进行地址核实，构建最后一道防线。