网络安全研究人员近日披露,一款名为 CryptoBandits 的恶意软件正在持续演化,其功能已从单纯的加密货币窃取工具升级为具备远程控制能力的后门平台。研究发现,该恶意软件利用 Tor匿名网络 与攻击者控制的基础设施通信,从而隐藏真实服务器位置,增强隐蔽性和持久性。
研究人员指出,CryptoBandits主要针对Windows系统用户,通过钓鱼邮件、恶意软件下载站点、破解软件以及伪装的安装程序进行传播。感染后,恶意软件会首先收集系统信息、用户账户数据以及浏览器存储内容,重点寻找加密货币钱包、浏览器扩展钱包和交易平台凭证。同时,其还会监控剪贴板内容,当发现加密货币地址时自动替换为攻击者控制的钱包地址,从而窃取受害者转账资金。

与传统加密货币木马不同,最新版本的 CryptoBandits 集成了完整的后门功能。攻击者能够通过 Tor 网络向受感染设备下发指令,执行任意命令、下载额外恶意程序、上传窃取数据,甚至将受害主机纳入更大的攻击基础设施中。由于通信流量经过 Tor 网络加密和匿名化处理,企业安全设备和网络监测系统更难识别其真实控制源。
分析显示,该恶意软件采用模块化设计,可根据攻击需求动态扩展功能。例如,攻击者可额外部署信息窃取模块、远程访问木马(RAT)、勒索软件载荷或代理服务组件,使受害设备成为后续攻击活动的跳板。研究人员还观察到,其命令控制架构具备较强的弹性,即使部分服务器被关闭,攻击者仍能快速恢复控制能力。
安全专家认为,CryptoBandits反映出当前网络犯罪团伙正在向“多功能恶意软件平台”方向发展,即通过单一感染链同时实现凭证窃取、加密货币盗窃、持久化控制和后续载荷投放。对于企业而言,这类威胁不仅会造成数字资产损失,还可能成为数据泄露、横向移动甚至勒索软件攻击的初始入口。
研究人员建议组织加强终端监测能力,关注异常 Tor 通信行为、可疑计划任务以及未经授权的远程执行活动;个人用户则应避免安装来源不明的软件和破解程序,启用多因素认证,并定期检查浏览器扩展和加密货币钱包安全设置,以降低感染风险。
夜雨聆风