你以为 U 盘蠕虫已经是上个时代的东西,它又拎着加密钱包回来了。
Microsoft 这次观察到的 Crypto Clipper,表面看是偷币木马:盯剪贴板,看到钱包地址就替换,看到 12 或 24 词助记词就上传。真正别扭的是,它还会通过 USB 盘里的 .lnk 快捷方式文件自传播,经 Tor 下载组件、回传数据,并支持远程代码执行。
这不是链被攻破。也不是钱包协议突然失守。被打的还是老地方:人的复制粘贴习惯,以及那台不够干净的终端。
它怎么传播、偷什么、谁会中招
把事实压短看,Crypto Clipper 的链路并不复杂。
| 环节 | Crypto Clipper 的做法 | 直接影响 |
|---|---|---|
| 传播 | 通过 USB 盘里的 .lnk 文件扩散,插入后检查本机是否已安装 | 仍在用 U 盘交换文件的个人和企业终端有风险 |
| 安装 | 未安装时,经 Tor 代理下载组件 | 不依赖传统安装器,落点更轻 |
| 偷取 | 监控剪贴板里的 12/24 词助记词和钱包地址 | 私钥资产可能被接管,转账可能被劫持 |
| 替换 | 把收款地址替换成攻击者钱包地址 | 用户以为自己粘贴正确,资金实际转向别人 |
| 截图 | 发现敏感内容后,10 秒内截取 5 张屏幕截图 | 攻击者拿到操作上下文,不只是一个字符串 |
| 回传 | 通过 Tor / SOCKS5 代理发送数据 | C2 通信更难追踪,但 Tor 本身不等于恶意 |
| 控制 | 支持远程代码执行和持续控制 | Microsoft 将其定性为 financially motivated stealer + lightweight backdoor |
这里必须克制。
材料没有说它已经大规模爆发,也没有证据显示这是国家级攻击。更准确的说法是:Microsoft 检测并观察到这种传播方式和能力组合。
它也没有攻破区块链。它打的是用户终端、剪贴板、助记词操作流程。链上仍然按规则结算,只是结算给了攻击者。
对两类人,影响最直接。
| 对象 | 真正风险 | 现在该做什么 |
|---|---|---|
| 加密货币用户 | 热钱包转账、复制地址、复制助记词时被替换或窃取 | 不在联网终端复制助记词;大额资产用硬件钱包;转账前核对完整地址或多段地址 |
| 企业终端安全 / SOC | USB、脚本、Tor 代理、截图命令组合成低成本入侵链 | 收紧 USB 策略;监控 localhost:9050、PowerShell 截屏、脚本解释器异常子进程、剪贴板检查和地址替换迹象 |
Microsoft 给出的检测线索也很实用:localhost:9050 代理使用、PowerShell 截屏命令、脚本解释器拉起异常子进程、疑似剪贴板检查或加密地址替换。现有防护里,Microsoft Defender for Endpoint 会将部分组件识别为可疑 JavaScript 进程、疑似 Curl 数据外传;Defender Antivirus 检测名包括 Trojan:Win32/CryptoBandits.A。
剪贴板是加密资产最尴尬的基础设施
我更在意的是剪贴板。
加密世界讲了很多年“自托管”“无需信任”。可真实操作最后经常落到几个动作上:复制地址、粘贴地址、截图、保存助记词。
这些动作很脆。
钱包地址太长,没人愿意手敲。助记词太关键,很多人会临时复制。转账时又紧张,用户常常只核对头尾几位。
Crypto Clipper 就卡在这个缝里。
它不需要破解密码学,也不需要攻破交易所。它只要等你复制地址,换成攻击者的钱包;或者等你复制助记词,再截几张屏,把上下文补齐。
那 5 张截图很要命。它可能暴露你正在用哪个钱包、打开哪个网页、处在哪一步、余额大概在哪里。
老话说,“天下熙熙,皆为利来”。放在这里不玄。偷币恶意软件的进化路线一直很现实:哪里离钱近,哪里摩擦小,哪里追责难,就往哪里钻。
链上转账不可逆,本来是系统特性。落到灰产手里,就成了商业闭环。偷到就是结算,转走很难追回。
这也是它和普通信息窃取器的区别。普通账号被盗,还可能冻结、申诉、回滚。助记词丢了,很多时候就是资产控制权丢了。
真正要盯的,是小偷工具开始像后门
如果 Crypto Clipper 只是剪贴板替换器,麻烦但不新鲜。
这次的关键变量是组合:U 盘传播、Tor 匿名通信、截图、远程代码执行。每一项单看都不算高级,拼起来就变味了。
它从“偷一次钱”,变成了“在终端上留一个轻量控制点”。
这类攻击的现实优势不在技术炫技,而在成本。脚本化、轻量、可复制、离钱近。灰产不需要每次都造火箭,只要把几个成熟零件接起来,就能覆盖一批安全习惯差的人和机器。
企业侧最容易低估这条线。
很多团队把预算投在云安全、身份、邮件钓鱼上,对 USB 管控反而松。可办公室里的 U 盘、会议材料、打印店文件、外包交付件,仍然是低成本传播路径。
老式入口没有死,只是奖励机制变了。
接下来最该观察两件事。
一是它是否出现更多变种,尤其是 .lnk 传播、Tor/SOCKS5 回传、截图和 RCE 是否被复用到其他偷币家族里。单个样本不可怕,可复制的打法更麻烦。
二是企业安全产品能否把“剪贴板异常 + 脚本子进程 + 本地 Tor 代理 + 截屏命令”串成一条告警链。只看单点,很容易把它当成噪声。串起来,才像一次入侵。
这件事的荒诞也在这里:一个偷币后门,仍然可以靠 .lnk 和 U 盘起步。技术行业喜欢把自己讲得很新,人性和运维习惯却很旧。
链上安全再漂亮,终端一脏,私钥就像写在纸门上。
Crypto Clipper 不该被夸成高级武器。它的危险恰恰在于不高级。便宜、脚本化、可复制、离钱近。这样的东西,才会在灰产里活得久。