Společnost Microsoft varovala před malwarem, který se šíří prostřednictvím flash disků a k infikování zařízení využívá soubory zkratek systému Windows. Tento malware, známý jako „clipper“, vyhledává v schránce adresy kryptoměn a nahrazuje je jinými adresami, které ovládají útočníci.
Společnost Microsoft varuje před novým malwarem šířeným přes USB, který se zaměřuje na uživatele kryptoměn
NAPSAL
SDÍLET
Hlavní body
- Microsoft Defender odhalil nový malware na USB, který vystavuje bitcoinové transakce riziku krádeže.
- Skript krade 12 nebo 24slovné seed fráze, čímž ohrožuje bezpečnost peněženek Tron a Monero.
- Společnost Microsoft dále vyzývá uživatele, aby zablokovali zástupce a zabránili tak šíření malwaru prostřednictvím vyměnitelných disků.
Microsoft varuje před malwarem pro Windows, který mění adresy kryptoměn
Tým stojící za Microsoft Defenderem, integrovaným nástrojem pro ochranu před malwarem a viry ve Windows, varoval před novou hrozbou, která k infikování zařízení využívá zástupce, a to především prostřednictvím USB disků.
Malware nahrazuje soubory na vyměnitelných úložných médiích zástupci (soubory .lnk), které při spuštění spustí infekci, přijímá protiopatření proti možnému skenování a odstranění antivirovým softwarem a využívá anonymizovanou komunikaci přes síť Tor, aby se vyhnul detekci.
Zároveň se malware šíří tím, že se kopíruje na jakékoli USB disky vložené do infikovaného počítače. Spouští také proces, který může provádět různé úkoly, včetně změny adres zkopírovaných uživateli do schránky infikovaného zařízení.
Tento malware, který na postiženém zařízení běží nepřetržitě, prohledává paměť za účelem nalezení toho, co Microsoft nazývá „finančními artefakty vysoké hodnoty“; detekuje 12- nebo 24-slovné seed fráze BIP39 v datech schránky a odesílá je útočníkům spolu s pěti snímky obrazovky, které poskytují kontext o obsahu peněženky a prostředcích, které obsahuje.
Kromě toho tento „crypto clipper“ každých 500 milisekund prohledává paměť za účelem nalezení adres populárních kryptoměnových projektů, včetně bitcoinů, tronů a moner.
Pokud nějakou najde, předpokládá, že ji uživatel kopíruje za účelem provedení transakce, a nahradí ji podobnou adresou, která je však pod kontrolou útočníka, aby se zmocnil finančních prostředků odeslaných uživateli z infikovaného zařízení.
„Tato rodina malwaru ukazuje, jak mohou nenáročné, skriptové programy určené ke krádeži dat způsobit obrovské škody, jsou-li spojeny s anonymizovanou komunikací a úlohami spouštěnými za běhu,“ zdůraznil tým Microsoft Defender.
Pro omezení infekcí tým doporučuje deaktivovat automatické spouštění obsahu na všech vyměnitelných médiích a blokovat spouštění zkratek z vyměnitelných disků, které byly identifikovány jako hlavní vektory šíření tohoto malwaru.
Tento článek byl přeložen z angličtiny pomocí umělé inteligence. Původní anglická verze je autoritativním zdrojem; automatické překlady mohou obsahovat nepřesnosti, zejména v právní a regulační terminologii.
