Microsoft har advaret om en malware, der spredes via USB-nøgler, som bruger Windows-genvejsfiler til at inficere enheder. Den såkaldte »clipper«-malware søger efter kryptoadresser i udklipsholderen og erstatter dem med andre adresser, der kontrolleres af angriberne.
Microsoft advarer mod ny USB-baseret malware, der er rettet mod kryptovaluta-brugere
SKREVET AF
DEL
Vigtige pointer
- Microsoft Defender har opdaget en ny USB-malware, der udsætter Bitcoin-transaktioner for tyveri.
- Scriptet stjæler 12- eller 24-ords seed-fraser, hvilket truer sikkerheden for Tron- og Monero-wallets.
- Microsoft opfordrer herefter brugerne til at blokere genveje for at forhindre, at malware spredes via flytbare drev.
Microsoft advarer om Windows-malware, der ændrer kryptovalutaadresser
Teamet bag Microsoft Defender, Windows' indbyggede sikkerhedsværktøj mod malware og vira, har advaret om en ny trussel, der bruger genveje til at inficere enheder, primært via USB-drev.
Malwaren erstatter filer på flytbare lagringsenheder med genveje (.lnk-filer), der udløser infektionen, når de køres, træffer foranstaltninger mod mulig scanning og sletning af antivirussoftware og bruger anonymiseret Tor-baseret kommunikation for at undgå opdagelse.
Samtidig spreder malware sig ved at kopiere sig selv til alle USB-drev, der sættes i en inficeret computer. Den kører også en proces, der kan udføre forskellige opgaver, herunder at ændre de adresser, som brugerne kopierer til udklipsholderen på den inficerede enhed.
Malwaren, som kører kontinuerligt på den berørte enhed, scanner hukommelsen for det, Microsoft kalder »finansielle artefakter af høj værdi«, hvor den opdager 12- eller 24-ords BIP39-seed-sætninger i udklipsholderdata og sender dem til angriberne sammen med fem skærmbilleder for at give kontekst om tegnebogens indhold og de midler, den indeholder.
Derudover scanner krypto-clipperen hver 500 millisekunder hukommelsen for adresser til populære kryptoprojekter, herunder bitcoin, tron og monero.
Hvis den finder nogen, antager den, at brugeren kopierer dem for at gennemføre en transaktion, og erstatter dem med en lignende adresse, som imidlertid er under angriberens kontrol, så denne kan tilegne sig de midler, som brugerne på den inficerede enhed sender.
»Denne malwarefamilie viser, hvordan lette, scriptbaserede stjælere kan have en enorm indvirkning, når de kombineres med anonymiseret kommunikation og kørsel af opgaver i realtid,« understregede Microsoft Defender-teamet.
For at mindske smitterisikoen anbefaler teamet at deaktivere autorun for indhold på alle flytbare medier og at blokere udførelsen af genveje fra flytbare drev, som er blevet identificeret som malwareens primære spredningsveje.
Denne artikel er oversat fra engelsk ved hjælp af kunstig intelligens. Den originale engelske version er den autoritative kilde; automatiske oversættelser kan indeholde unøjagtigheder, især i juridisk og lovgivningsmæssig terminologi.
