Microsoft on hoiatanud pahavarast, mis levib mälupulgate kaudu ja kasutab seadmete nakatamiseks Windowsi otseteefaile. Nn „clipper“ nimeline pahavara otsib lõikelaualt krüptovaluuta aadresse ja asendab need ründajate kontrolli all olevate aadressidega.
Microsoft hoiatab uue USB-põhise pahavara eest, mis on suunatud krüptovaluuta kasutajatele
KIRJUTAS
JAGA
Peamised järeldused
- Microsoft Defender tuvastas uue USB-pahavara, mis seab bitcoini tehingud varguse ohu alla.
- Skript varastab 12- või 24-sõnalisi algfraase, ohustades Troni ja Monero rahakottide turvalisust.
- Microsoft soovitab kasutajatel blokeerida otseteed, et takistada pahavara levikut eemaldatavate andmekandjate kaudu.
Microsoft hoiatab Windowsi pahavara eest, mis muudab krüptovaluuta aadresse
Microsoft Defenderi, Windowsi sisseehitatud pahavara- ja viirusetõrjevahendi meeskond on hoiatanud uue ohu eest, mis kasutab seotud faile seadmete nakatamiseks, peamiselt USB-mäluseadmete kaudu.
Pahavara asendab eemaldatavatel andmekandjatel olevad failid otseteedega (.lnk-failid), mis käivitavad nakkuse, kui neid käivitatakse; võtab meetmeid viirusetõrjeprogrammide võimaliku skaneerimise ja kustutamise vastu ning kasutab anonüümset Tor-põhist suhtlust, et vältida avastamist.
Samal ajal levib pahavara, kopeerides end igale nakatunud arvutisse ühendatud USB-mäluseadmele. Samuti käivitab see protsessi, mis suudab täita mitmesuguseid ülesandeid, sealhulgas muuta aadresse, mille kasutajad on kopeerinud nakatunud seadme lõikelauale.
Pahavara, mis töötab nakatunud seadmes pidevalt, skannib mälu, otsides seda, mida Microsoft nimetab „kõrge väärtusega finantsartefaktideks“, tuvastades lõikelauda andmetest 12- või 24-sõnalisi BIP39 algfraase ning saates need ründajatele koos viie ekraanipildiga, et anda konteksti rahakoti sisu ja selles olevate rahaliste vahendite kohta.
Lisaks otsib krüptoklipper mälust iga 500 millisekundi järel populaarsete krüptoprojektide, sealhulgas bitcoini, troni ja monero aadresse.
Kui ta neid leiab, eeldab ta, et kasutaja kopeerib neid tehingu sooritamiseks, ning asendab need sarnase aadressiga, mis on ründaja kontrolli all, et haarata nakatunud seadme kasutajate poolt saadetud rahalised vahendid.
„See pahavaraperekond näitab, kuidas kerged, skriptidel põhinevad andmevarastajad võivad avaldada ülemäära suurt mõju, kui neid kombineeritakse anonüümse suhtluse ja käitamisaja ülesannetega,“ rõhutas Microsoft Defenderi meeskond.
Nakatumise vähendamiseks soovitab meeskond keelata kõigi eemaldatavate andmekandjate sisu automaatse käivitamise ning blokeerida kiirklahvide käivitamine eemaldatavatelt andmekandjatelt, mida on tuvastatud pahavara peamiste levikuvektoritena.
See artikkel tõlgiti inglise keelest tehisintellekti abil. Ingliskeelne originaalversioon on autoriteetne allikas; automaatsed tõlked võivad sisaldada ebatäpsusi, eriti juriidilises ja regulatiivses terminoloogias.
