微软披露新型加密货币窃取木马 Crypto Clipper，自今年 2 月以来已感染多台 Windows 设备

ChainCatcher 消息，Microsoft Security Blog 发文称，微软安全研究团队发现一种名为 Crypto Clipper 的新型加密货币窃取木马。该恶意软件自 2026 年 2 月起活跃，主要通过 USB 设备传播恶意 .lnk 快捷方式感染 Windows 用户。Crypto Clipper 内置 Tor 客户端，通过本地 SOCKS5 代理连接 .onion 隐藏服务，实现隐蔽 C2 通信。其主要功能包括高频监控剪贴板、窃取助记词和私钥、替换加密货币转账地址、截取屏幕截图并上传，以及接收远程代码执行指令。

微软表示，该恶意软件具备蠕虫传播能力，会自动隐藏 U 盘内原始文档并生成同名恶意快捷方式，同时创建计划任务实现持久化控制。研究人员将其检测为 Trojan:Win32/CryptoBandits.A，并建议用户禁用可移动设备自动运行、限制脚本解释器执行权限，并重点监控 localhost:9050 Tor 代理流量及异常剪贴板访问行为。