微软威胁情报部门近日向 Windows 用户发出紧急警示，一种名为 Crypto Clipper 的恶意软件正通过 U 盘设备大规模传播，严重威胁用户数字资产安全。该恶意软件自今年 2 月首次被发现以来，已展现出高度进化的攻击特征，其核心机制在于高频窃取剪贴板数据、实时截取屏幕截图以及动态替换钱包地址，从而在用户毫无察觉的情况下盗取钱包凭证。午方 AI 梳理发现，这种恶意软件不仅会隐藏系统中的合法文件，还会生成外观高度相似的快捷方式诱导用户执行，其内置的蠕虫组件更会自动感染其他连接的 U 盘设备，形成链式传播效应。

与传统的依赖安装程序或基于 IP 地址传播的恶意软件不同，Crypto Clipper 采用了更为隐蔽的植入策略。它会在 Windows 系统的文档目录中部署两个经过混淆处理的 JavaScript 脚本，并分别为蠕虫组件和信息窃取组件创建定时任务，确保其在系统重启后仍能持续运行。微软研究人员指出，该恶意软件通过 Tor 网络进行指令传输，这种架构使得攻击者既能立即获取经济利益，又能实现对受感染设备的长期控制，使其从单纯的信息窃取工具演变为一个功能完备的后门。

在攻击目标的选择上，Crypto Clipper 精准锁定剪贴板中的高价值金融信息，包括 BIP39 助记词以及 Bitcoin 和 Ethereum 的私钥。更为危险的是，它会实时监测并替换用户复制的钱包地址，将其变更为攻击者控制的地址，这一机制广泛适用于 Bitcoin、Tron 和 Monero 等多种加密货币。

此外，该恶意软件每十秒就会自动截取一次屏幕截图，以收集更多敏感信息，为后续的针对性攻击提供数据支持。午方 AI 注意到，这种组合攻击手段使得攻击者能够随时在受感染机器上执行任意代码，将单纯的加密货币盗窃行为升级为持续性的勒索软件攻击。

针对这一严峻的安全威胁，微软建议用户立即采取防御措施，包括禁用可移动存储设备的自动播放功能，严格阻止 U 盘上的.lnk 文件被执行，并密切监控系统中任何异常的代理活动及新生成的脚本文件。数据显示，2026 年以来，针对 Windows 操作系统的加密货币窃取恶意软件数量呈现显著增长趋势。本月早些时候，Foresiet 威胁情报团队便发现了一种名为 Lucid Stealer 的新型 Windows 恶意软件，其攻击焦点同样集中在浏览器扩展程序和加密货币钱包上，显示出攻击者正不断迭代技术以突破现有防御体系。午方 AI 分析认为，随着此类恶意软件的智能化和自动化程度提升，用户需建立更深层的主动防御机制，以应对日益复杂的网络威胁环境。