快链头条 消息，微软公司威胁情报团队官方公布一款自 2026 年 2 月起活跃的 Windows 加密木马威胁，该恶意软件结合“蠕虫式传播+剪贴板劫持+Tor 匿名通信”，针对数字资产用户实施攻击。微软分析指出，该恶意程序通过伪装的快捷方式（.lnk）文件在可移动存储设备间传播，并利用 WScript 与 ActiveX 执行脚本逻辑，自动部署本地 Tor 客户端，通过 127.0.1:9050 代理连接。onion 隐藏服务 C2 服务器，实现匿名控制与数据回传。攻击链包括多重恶意能力：持续监控剪贴板内容、窃取助记词与私钥、截屏上传，并在用户复制加密货币地址时进行“地址替换”，将目标地址替换为攻击者控制的钱包地址，从而实现资金劫持。此外，该木马还具备蠕虫传播能力，可自动在 U 盘等设备中复制自身，并创建计划任务实现持久化运行，同时具备基础反分析能力（检测任务管理器以规避调试）。在检测层面，微软已将其识别为 Trojan:Win32/CryptoBandits 系列，并通过行为特征（如 WScript 异常调用、localhost:9050 代理流量及 PowerShell 截图行为）进行拦截。安全研究人员建议重点防护脚本执行路径及本地代理异常流量监测。