USB 蠕蟲攻擊鎖定比特幣(BTC)、以太幣(ETH)　微軟示警新型加密貨幣剪貼簿木馬大規模感染 Windows

透過「USB」擴散的惡意程式正大規模感染「Windows」個人電腦，並鎖定「比特幣(BTC)」與「以太幣(ETH)」等加密錢包關鍵資訊，攻擊手法相當精細。使用者只要執行看似普通的檔案，就可能在毫無察覺的情況下遭到資產竊取。

根據「微軟（Microsoft）」近日於官方部落格發布的技術報告顯示，這類藉由「USB 儲存裝置」擴散的惡意程式，被歸類為「加密貨幣剪貼板竊取程式（Crypto Clipper）」家族之一，並在旗下防毒產品中以「Trojan:Win32/CryptoBandits」識別。微軟指出，自 2 月起，相關攻擊樣本已持續在「Windows」個人電腦環境被發現，顯示攻擊行動仍在進行中。

在感染途徑方面，攻擊者會預先在「惡意 USB」中植入副檔名為「.lnk」的捷徑檔。當使用者誤以為這是正常的安裝程式、文件或資料夾入口並加以點擊時，系統實際啟動的卻是隱藏其中的惡意程式，而非原本預期的應用程式。隨後，具有「蠕蟲（Worm）」特性的惡意程式會被安裝到系統中，並在背景長期常駐，以便執行後續一連串與「加密貨幣」相關的竊取行為。

安裝完成後，惡意程式會以約「0.5 秒」為間隔持續監控「Windows 剪貼簿」。一旦偵測到使用者複製了「比特幣(BTC) 錢包私鑰」、「以太幣(ETH) 錢包私鑰」或「助記詞（Seed Phrase）」等敏感資訊，惡意程式便會立即截取這些資料，並傳送至攻擊者控制的伺服器。「詞：剪貼簿監控」與「詞：私鑰竊取」因此成為本次攻擊的關鍵風險點。

這些外流資訊並非直接走一般網路路徑，而是透過匿名通訊網路「Tor」進行傳輸，增加追蹤難度。與此同時，惡意程式還會每隔約「10 秒」擷取多張螢幕畫面，將使用者當下操作情況一併上傳。由於整個過程在背景悄悄進行，受害者很難從系統表面異常來察覺遭入侵。

更具威脅性的是，當使用者進行「加密貨幣轉帳」操作時，此惡意程式會直接介入資金流向。常見流程是，使用者從交易所或錢包介面複製「收款地址」，接著切換到另一視窗準備貼上。然而，在這個複製與貼上的間隙中，惡意程式會即時將剪貼簿中的合法錢包地址，悄悄替換成攻擊者事先設定的收款地址。等到使用者在轉帳欄位按下貼上時，實際填入的已是遭到「變造」的地址，如果沒有特別比對字串或習慣只看開頭與結尾部分，就極可能在不知情的情況下，將比特幣(BTC)、以太幣(ETH) 等資產直接匯入攻擊者的錢包。

「評論」：這類「地址替換攻擊」在加密貨幣領域並不罕見，但結合「USB 感染」與「剪貼簿竊取」成套運作，使得風險從單一設備擴散到多台電腦與多個使用者環境，放大了社交工程與技術攻擊的綜合破壞力。

在擴散機制上，該惡意程式同樣具備明顯的「自我複製能力」。一旦有新的 USB 裝置插入已遭感染的電腦，惡意程式會掃描 USB 內容，將原有的正常檔案以「同名捷徑檔」替換，實際檔案則被隱藏或移到其他位置。這些捷徑外觀上仍像是一般的 Word、Excel、PDF 或資料夾圖示，使用者通常不會起疑，一旦開啟，就再次觸發惡意程式在新電腦上安裝。如此一來，一支遭感染的 USB，可能在辦公室、學校、網咖與家庭環境中，持續將惡意程式擴散到其他 Windows 裝置，形成「詞：鏈式感染」、「詞：USB 蠕蟲式擴散」的連鎖結構。

面對這類透過「USB」攻擊「加密貨幣使用者」的威脅，「微軟」提出多項具體防護建議。首先，建議停用「可攜式儲存裝置」的自動執行（AutoRun）功能，避免插入 USB 時自動執行捷徑或安裝程式。其次，企業與進階使用者可透過「群組原則（Group Policy）」限制執行 USB 中的「.lnk 捷徑檔」，並對「wscript.exe」與「cscript.exe」等腳本執行工具施加額外限制或白名單控管，以阻斷常見的惡意腳本載入路徑。

對於使用「Windows Defender」等內建防護方案的環境，微軟建議安全團隊加強監控是否存在可疑的「Tor 代理連線」，例如對「9050 埠」等常見 Tor Proxy 連接埠進行流量分析與異常行為偵測。同時，微軟也已公開本次攻擊行動所使用的「檔案雜湊值（Hash）」與「.onion 網域」等「詞：入侵指標（IOC）」，企業資安團隊可依此比對內部系統與網路紀錄，評估是否已遭相關家族惡意程式入侵。

「評論」：從微軟釋出的技術細節來看，攻擊者顯然將目標鎖定在「持有或頻繁交易加密貨幣的 Windows 用戶」，不僅試圖直接竊取「私鑰」與「助記詞」，也積極攔截鏈上轉帳流程。這意味著，即便使用者未將完整私鑰存放於文字檔，只要在匯款過程中複製錢包地址，也可能成為攻擊目標。

本次透過「USB」這一日常工具進行的攻擊，再次暴露出「加密貨幣安全」長期存在的薄弱環節：多數使用者對「離線裝置」與「外接儲存媒介」的風險認知不足。當前，加密貨幣生態中「詞：地址確認習慣」、「詞：冷錢包操作流程」、「詞：多重簽章錢包」等安全機制已漸趨普及，但只要在其中一個環節疏忽，像是隨意使用未知來源的 USB、未關閉 AutoRun、或未養成「逐字比對轉帳地址」的習慣，都可能讓精心部署的安全架構在「一次錯誤點擊」中瓦解。

對一般用戶而言，降低風險的實務作法包括：避免使用來路不明的 USB、將重要錢包操作盡量與日常上網設備隔離、在每次轉帳前仔細核對完整地址字串，以及避免將私鑰或助記詞以純文字形式長期存放在常用電腦中。對企業與交易平台來說，則須持續更新惡意程式防護與終端偵測機制，並針對內部人員進行 USB 使用規範與加密貨幣安全教育。

在「比特幣(BTC)」、「以太幣(ETH)」與整體加密資產市值持續成長的當下，每一次針對錢包與私鑰的攻擊行動，都在提醒市場：加密貨幣帶來去中心化財富的同時，也將資安責任更直接地交還給使用者本身。如何從最基本的操作行為做起，避免因一個 USB 或一次檔案點擊而造成無法挽回的資產損失，將是每位加密貨幣參與者都必須正視的課題。