Crypto Clipper 用 USB 手指同 Tor 偷 wallet,抄地址前要睇清楚
剪貼簿被盯上,Windows crypto 用戶要守住 USB 同收款地址
Microsoft 6 月 17 日公開咗一款 Windows crypto clipper,Ars Technica 隨後跟進報道。呢類惡意軟件最陰濕嘅位唔係彈廣告或者鎖機,而係盯住你剪貼簿:見到 seed phrase、private key 或 wallet address,就即刻偷走,甚至將你複製好嘅收款地址換成攻擊者地址。對用 hot wallet、成日搬檔、公司機同私人機混用嘅人,呢件事值得認真睇。
USB 舊招,加咗 Tor 新玩法
Microsoft 話呢個 campaign 自 2026 年 2 月起出現,入口係 USB 手指上面嘅惡意 .lnk 捷徑。惡意程式會掃 USB 入面常見文件,例如 .doc、.xlsx、.pdf,將原本文件隱藏,再製造同名捷徑。你以為自己開緊文件,其實係幫佢執行 worm,之後佢再喺電腦入面落 JavaScript payload、排程工作,等重開機之後都繼續行。
今次比較麻煩嘅地方,係佢唔靠傳統 installer,亦唔直接連去一個容易封鎖嘅 IP-based C2。Microsoft 指佢會放一個改名做 ugate.exe 嘅 portable Tor client,經 localhost:9050 嘅 SOCKS5 proxy 連去 .onion 控制端。換句話講,企業 IT 唔可以淨係望住 DNS 或單一可疑 IP,因為真正線索反而係 WScript、PowerShell、curl、cmd.exe 呢啲工具一齊出現嘅行為鏈。
圖片:Microsoft Security Blog
抄地址呢個習慣,正正係攻擊面
Clipper 會約每 500 毫秒檢查剪貼簿。Microsoft 原文提到,佢會搵 12 或 24 個字嘅 BIP39 seed phrase、Ethereum private key、Bitcoin WIF private key,同多種 wallet address。中招後,seed phrase 可以經 Tor 送走;畫面亦會每隔 10 秒截圖 5 張,畀攻擊者估到你用緊邊個 wallet、餘額同操作脈絡。
最實際嘅風險係地址替換。好多人轉帳前只係睇 wallet address 頭尾幾個字元,偏偏 Microsoft 觀察到呢款 malware 會按格式換地址,例如 Bitcoin legacy / P2SH 可以保留頭兩個字元,bech32 / taproot 類地址就可能保留最後字元。即使用 hardware wallet,都唔好只掃一眼頭尾;真正要做係喺硬件屏幕或者可信 app 入面對清楚完整收款資料,尤其係大額轉帳。
香港用戶點解都中招得到
呢件事唔需要硬扯到任何本地幣價。香港本身有持牌虛擬資產交易平台,亦有 Web3 公司、OTC、freelancer 同散戶會用 hot wallet。另一邊,USB 手指喺 office、學校、影印店、維修店仍然好常見。兩邊一疊埋,就係呢種 malware 最鍾意嘅環境:Windows 機、可移除儲存、剪貼簿轉地址、用戶趕時間。
普通用戶最重要係幾件事:唔好插來歷不明 USB;Windows 開返顯示副檔名,見到文件變 .lnk 就停手;seed phrase 唔好 copy/paste,唔好放雲端筆記或截圖;做 crypto 轉帳時,收款地址要喺第二個可信渠道核對。公司 IT 就要再進一步,關 AutoRun / AutoPlay、限制 USB 執行、用 GPO 或 Defender Attack Surface Reduction 擋 removable drive 上面未受信任嘅程序,同監察 localhost:9050、curl --socks5-hostname、可疑排程工作。
我點睇
呢單最值得記住嘅唔係 Crypto Clipper 個名,而係攻擊者將幾樣低成本技術砌埋一齊:USB worm、Windows Script Host、剪貼簿監控、Tor C2、截圖、remote code execution。每樣單獨睇都唔新,但合起上來就夠實用、夠隱蔽、夠賺錢。crypto 保安唔可以只講 seed phrase 收埋邊度;你平時點抄地址、點插 USB、公司點管腳本同 removable media,都會決定你係咪容易畀人偷走資產。
參考來源
- Ars Technica — Microsoft discovers new lightweight backdoor that steals cryptocurrency — original report
- Crypto Clipper uses Tor and worm-like propagation for persistence and control — Microsoft 官方 threat intelligence 原文,核對感染鏈、Tor / SOCKS5、Defender 偵測、IOC 同緩解建議。
- In hot pursuit of ‘cryware’: Defending hot wallets from attacks — Microsoft 早前對 hot wallet、seed phrase、clipboard manipulation 同 cryware 攻擊面嘅背景解釋。
- ASR rules reference - Microsoft Defender for Endpoint — 核對 Defender Attack Surface Reduction 規則,例如擋 obfuscated scripts、JS/VBS 啟動可疑 executable、USB 上未受信任程序。
- Lists of virtual asset trading platforms — 核對香港持牌虛擬資產交易平台背景,避免硬作本地場景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
