微软披露了一个自至少2月以来活跃的恶意软件活动。该恶意软件通过USB驱动器利用LNK文件传播，并具有蠕虫特性，会自我复制到新连接的移动驱动器。执行后，它会监控剪贴板中的加密货币钱包地址，将其替换为攻击者控制的地址。它还针对BIP39种子短语、以太坊和比特币私钥，以及比特币、波场和门罗币的钱包地址。该恶意软件通过捆绑的Tor可执行文件（ugate.exe）建立命令与控制（C2）通信，并通过curl外泄截图和窃取的数据。它可接收EVAL命令以执行远程代码，下载并执行JavaScript有效负载。微软强调，行为指标如异常的进程活动（wscript.exe、cscript.exe）、意外的curl、PowerShell、cmd.exe启动以及连接到localhost:9050是关键警示信号。

关键事实

• 恶意软件通过USB驱动器的LNK文件传播，并具有蠕虫式自我复制能力。
• 替换剪贴板中的加密货币钱包地址为攻击者控制的地址。
• 窃取BIP39种子短语、以太坊/比特币私钥及钱包地址。
• 通过Tor通信，外泄数据并支持远程代码执行。
• 行为检测是关键：注意wscript.exe、curl、Tor代理连接。

KeyAudit 数据视角