丢弃的 USB 驱动器如何演变成无声的加密货币窃贼
上周二,一家精品金融科技公司的高级开发人员注意到他的硬件钱包交易出现异常。他试图向一个已经使用过数十次的冷存储地址发送 0.5 个比特币。他从密码管理器中复制了地址,并将其粘贴到转账栏中。交易成功执行,然而,资金从未到达预定目的地。几分钟内,他源钱包的余额归零。对工作站的取证调查显示,粘贴的地址并非他复制的那个,而是一个由攻击者控制的、几乎完全相同的字符串。这次入侵的入口点是他三个月前在一次会议礼品袋中发现的促销 USB 驱动器。
微软研究人员最近将这一特定威胁识别为一种新型的自传播蠕虫,称之为 Crypto Clipper。这种恶意软件不同于目前占据新闻头条的臃肿、复杂的勒索软件套件。它是一种轻量级的基于脚本的后门,优先考虑隐蔽性和即时变现。攻击链始于用户将受感染的 USB 驱动器连接到 Windows 计算机。该驱动器包含伪装成合法文档或文件夹的恶意 .lnk 文件。当用户与这些文件交互时,感染过程就会在没有传统安装提示的情况下开始。
静默复制与初始感染的机制
Crypto Clipper 的传播方式回到了早期互联网蠕虫时代。它依赖于硬件在系统之间的物理移动。当恶意软件发现新主机时,它会扫描任何连接的 USB 存储设备,并在这些驱动器上创建一系列 .lnk 文件。这些快捷方式文件存储了指向恶意软件负载的可执行代码。为了增加点击成功的几率,恶意软件使用与驱动器上现有文件匹配的名称。这是一个数字木马,利用了用户对其自身硬件的固有信任。
从风险角度来看,这种蠕虫之所以有效,是因为它完全绕过了网络边界。大多数现代安全栈侧重于传入的 Web 流量和邮件附件。通过本地硬件接口到达的恶意脚本通常能避开初始检查层。一旦 .lnk 文件运行,它就会执行一条 PowerShell 命令。该命令会检查机器是否已被感染。如果系统是干净的,脚本就会连接到外部服务器,下载 Clipper 的核心组件。
为什么传统防火墙会漏掉 Tor 路由流量
Crypto Clipper 最显著的特征是使用 Tor 网络进行命令与控制(C2)。大多数恶意软件家族使用安全分析师可以轻松封锁的硬编码 IP 地址或域名。这种恶意软件采用了更具韧性的方法:它在受感染的主机上部署一个便携式 Tor 客户端,然后通过本地 SOCKS5 代理(通常在 9050 端口)路由所有出站通信。这在受损设备和攻击者之间创建了一个匿名隧道。
这种设置直接挑战了标准的日志记录实践。在典型的企业环境中,防火墙会记录每个出站数据包的目标 IP。当设备使用 Tor 时,防火墙只能看到与 Tor 入口节点的连接,而这些节点通常是合法的服务器。被盗数据的实际目的地隐藏在多层加密和冗余节点之后。在这种背景下评估攻击面非常困难,因为恶意流量与常见的加密 Web 活动混杂在一起。恶意软件使用 SOCKS5 协议将数据转发到最终目的地,确保攻击者的服务器地址永远不会出现在本地网络日志中。
剪贴板劫持剖析
该恶意软件的主要功能是监控 Windows 剪贴板。它寻找与加密货币钱包地址匹配的特定模式。比特币、以太坊和其他主要资产使用标准化的字母数字格式。Crypto Clipper 使用正则表达式实时识别这些字符串。当用户复制地址时,恶意软件会拦截剪贴板内容,并将用户的地址替换为攻击者拥有的地址。
这是一种简单但具有破坏性的数据完整性破坏形式。大多数用户通过检查前四个和后四个字符来验证地址。该恶意软件的高级变体会生成数千个地址,以找到一个与受害者目标地址尽可能匹配的地址。除了简单的地址替换,该恶意软件还会监控助记词(Seed Phrases)。这些是用于恢复加密钱包的 12 或 24 个单词序列。如果恶意软件在剪贴板上检测到助记词,它会立即外传文本。这使攻击者能够完全控制受害者的整个数字资产组合。
通过隐蔽屏幕截图进行视觉确认
Crypto Clipper 并不止步于文本窃取。微软发现,每当恶意软件在剪贴板上检测到敏感数据时,它会在 10 秒内截取五张屏幕截图。这些图像为攻击者提供了上下文信息。屏幕截图可以揭示正在使用的特定钱包软件、账户余额或屏幕上的其他安全问题。恶意软件使用原生的 PowerShell 命令捕获屏幕,这有助于它避开仅寻找第三方捕获工具的基础杀毒软件的检测。
| 特性 | 传统窃取程序 | Crypto Clipper |
|---|---|---|
| 连接方式 | 直接 IP/DNS | 通过 SOCKS5 代理的 Tor |
| 持久化 | 注册表项/启动文件夹 | USB 自传播 |
| 数据目标 | 保存的密码/Cookie | 活动剪贴板/助记词 |
| 证据 | 本地日志文件 | 屏幕截图/匿名外泄 |
| 基础设施 | 静态 C2 服务器 | 去中心化 Tor 隐藏服务 |
从窃取程序到活动后门的转变
虽然主要目标是财务窃取,但微软将此威胁归类为轻量级后门。Tor 代理的存在和执行远程代码的能力意味着攻击者不仅可以更换钱包地址,还可以随时向受感染的机器推送新脚本。这使得恶意软件能够根据其所处的环境进行演变。在企业环境中,攻击者可能会从窃取加密货币转向收集内部凭据或部署勒索软件。
这种运行时任务处理能力使该恶意软件成为一种持久性威胁。即使用户清空了剪贴板或转移了资金,后门仍然处于活动状态。攻击者可以等待数月后再部署更具侵入性的负载。从主动防御的角度来看,内部工作站存在持久且匿名的连接对任何安全团队来说都是最坏的情况。它将一个受感染的 USB 驱动器变成了船体上一个永久的漏洞。
系统受侵入的技术指标
Microsoft Defender for Endpoint 针对此威胁具有特定的特征码。它会标记可疑的 JavaScript 进程以及使用 Curl 工具的数据外泄尝试。然而,对于旧系统或没有高级 EDR 工具的系统,手动搜寻通常是必要的。Crypto Clipper 感染最强烈的指标是存在监听 localhost:9050 的代理服务,这是 Tor SOCKS5 代理的默认端口。
管理员还应查找 PowerShell 或 CMD 等脚本解释器派生出的异常子进程。恶意软件经常使用这些进程来执行其屏幕捕获和剪贴板监控例程。PowerShell 历史记录中任何屏幕捕获命令的证据都应被视为红标警报。从取证角度看,USB 驱动器上出现名称模仿现有文档的新 .lnk 文件是该蠕虫存在的明确迹象。Microsoft Defender 防病毒软件将核心负载检测为 Trojan:Win32/CryptoBandits.A。
加固硬件接口的实际步骤
保护网络免受自传播蠕虫的侵害需要技术控制和用户教育相结合。除了打补丁外,最有效的防御是针对可移动介质的严格策略。许多组织现在默认禁用 USB 端口,或使用软件将特定的加密驱动器列入白名单。这相当于在每个内部门口都设置了 VIP 俱乐部的保镖:如果设备不在名单上,就无法进入。
用户还必须对剪贴板采取零信任方法。永远不要假设你粘贴的字符串就是你复制的字符串。在确认交易之前,务必验证整个钱包地址,而不仅仅是前几个字符。对于高价值转账,带外验证(Out-of-band verification)是必要的。这涉及在未连接到同一网络的独立设备上检查地址。这一简单步骤可以防止绝大多数基于 Clipper 的窃取。
最后,组织应审计其系统是否存在未经授权的代理工具。Tor 有合法用途,但它出现在标准办公工作站上几乎总是影子 IT 或安全漏洞的迹象。监控流向已知 Tor 入口节点的网络流量有助于在攻击者外泄大量数据之前识别受感染的机器。这种主动监控是轻微事件与数字资产全盘损失之间的区别。
来源
- Microsoft Threat Intelligence Report (June 2026)
- MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
- NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
- Microsoft Security Blog: Evolution of Script-Based Stealers
免责声明:本文仅供信息参考和教育目的。它不能替代专业的网络安全审计或事件响应服务。在更改企业安全架构之前,请务必咨询认证的安全专业人员。
