CryptoBandits 恶意软件兼具后门功能，滥用 Tor

Microsoft 警告称，一种基于 Windows 的加密货币剪贴板劫持器会建立一个轻量级后门，融合了数据窃取和远程代码执行（RCE）能力。

该恶意软件被命名为 CryptoBandits，自 2026 年 2 月以来一直在攻击中使用，它在受感染系统上部署便携版 Tor 客户端，并通过本地 SOCKS5 代理路由流量。

Microsoft 解释道：“该攻击活动中的剪贴板劫持器依赖 Windows Script Host 和 ActiveX 驱动的逻辑来启动捆绑的 Tor 代理，并轮询隐藏服务的 C&C 服务器。它执行高频剪贴板窃取、屏幕截图外泄以及钱包地址替换。”

CryptoBandits 通过恶意快捷方式（.lnk）载荷进行分发。在受感染系统上，它会部署两个组件：一个用于传播的蠕虫和一个用于窃取加密货币钱包信息的剪贴板劫持器/窃取器。

在传播方面，该恶意软件扫描连接的 USB 设备，并为合法文件创建额外的恶意快捷方式。它还可以传递基于文件的载荷，并将其排除在 Defender 扫描之外。

剪贴板劫持器是一个通过 WScript 和 ActiveXObject 与系统交互的脚本，并会检查任务管理器是否正在运行，以此作为反分析防御手段。持久性通过计划任务实现。

CryptoBandits 启动一个重命名的 Tor 二进制文件来建立命令与控制（C&C）通信并注册受害设备，然后进入一个持续循环，每 500 毫秒轮询一次 C&C 以获取指令。

该恶意软件可以提取与加密货币钱包关联的种子短语和私钥，并可以将剪贴板中的加密货币地址替换为攻击者提供的地址，从而劫持它们。

据 Microsoft 称，该恶意软件采用多层混淆技术，所有组件均在运行时解密。处理安装的 Python 脚本及其 JavaScript 载荷也都经过了混淆处理。

该威胁的核心组件是捆绑的 Tor 客户端，它通过 localhost:9050 路由通信并解析目标域名，以减少 DNS 可见性并隐藏其 C&C 位置。

Microsoft 指出：“这个恶意软件家族展示了轻量级的基于脚本的窃取器，在结合匿名通信和运行时任务调度时，可以产生超乎寻常的影响。组织应重点关注强化脚本执行路径、监控本地 SOCKS 代理滥用，以及使用行为狩猎将脚本活动与网络、剪贴板和进程信号关联起来。”