根据 Microsoft Defender,6 月 17 日,Windows 安全团队发现了一种新的基于 USB 的恶意软件,该软件通过窃取 BIP39 助记词并篡改钱包地址来攻击加密货币用户。该恶意软件通过可移动驱动器传播:它会用快捷方式替换文件(.lnk 文件),从而在执行时触发感染,并建立由 Tor 驱动的通信以规避检测。恶意软件一旦处于活动状态,就会在内存中扫描剪贴板数据里的 12 或 24 个词的助记词,并检测比特币、Tron 和 Monero 的地址,然后将其替换为攻击者控制的地址以转移资金。Microsoft 建议为可移动媒体禁用自动运行,并阻止从 USB 驱动器执行快捷方式,以防止感染。