TechFlow 보도에 따르면, 6월 19일 마이크로소프트(Microsoft) 위협 인텔리전스 팀은 2026년 2월부터 활동 중인 Windows용 암호화 클립보드 트로이목마 위협을 공개했다. 이 악성 소프트웨어는 ‘웜 방식 전파 + 클립보드 하이재킹 + Tor 익명 통신’을 결합해 디지털 자산 사용자를 대상으로 공격을 실시한다.
마이크로소프트 분석 결과, 이 악성 프로그램은 가짜 바로가기(.lnk) 파일 형태로 가변 저장 매체 간에 전파되며, WScript와 ActiveX를 활용해 스크립트 로직을 실행하고, 로컬 Tor 클라이언트를 자동으로 배포함으로써 익명 제어 및 데이터 회수 기능을 구현한다. 공격 체인에는 여러 가지 악성 기능이 포함되어 있다: 클립보드 콘텐츠 지속 모니터링, 복구 문구(마스터 키워드) 및 개인 키 탈취, 화면 캡처 및 업로드, 그리고 사용자가 암호화폐 주소를 복사할 때 해당 주소를 공격자 소유의 지갑 주소로 ‘주소 교체’하여 자금을 탈취하는 기능이다.
또한 이 트로이목마는 웜 전파 기능을 갖추고 있어 USB 메모리 등 장치 내에서 스스로 복제하며, 작업 계획을 생성해 지속적인 실행을 달성한다. 동시에 기본적인 반분석 기능도 탑재되어 있어, 작업 관리자(Task Manager) 감지를 통해 디버깅을 회피한다.
탐지 측면에서 마이크로소프트는 이를 Trojan:Win32/CryptoBandits 계열로 식별하였으며, WScript의 비정상적 호출, localhost:9050으로의 프록시 트래픽, PowerShell을 이용한 스크린샷 캡처 행위 등의 행동 특징을 기반으로 차단 조치를 취하고 있다. 보안 연구원들은 스크립트 실행 경로 및 로컬 프록시 이상 트래픽 모니터링에 특히 주의하여 방어할 것을 권고한다.
