Microsoft on varoittanut haittaohjelmasta, joka leviää USB-muistitikkujen kautta ja käyttää Windowsin pikakuvakkeita laitteiden tartuttamiseen. Niin kutsuttu ”clipper”-haittaohjelma etsii leikepöydältä kryptovaluuttojen osoitteita ja korvaa ne hyökkääjien hallinnoimilla osoitteilla.
Microsoft varoittaa uudesta USB-pohjaisesta haittaohjelmasta, joka kohdistuu kryptovaluutan käyttäjiin
KIRJOITTAJA
JAA
Tärkeimmät kohdat
- Microsoft Defender on havainnut uuden USB-haittaohjelman, joka altistaa bitcoin-transaktiot varkauksille.
- Skripti varastaa 12 tai 24 sanan siemenlauseet, mikä uhkaa Tron- ja Monero-lompakoiden turvallisuutta.
- Microsoft kehottaa käyttäjiä estämään pikakuvakkeet, jotta haittaohjelma ei leviäisi siirrettävien tallennusvälineiden kautta.
Microsoft varoittaa Windows-haittaohjelmasta, joka muuttaa kryptovaluuttojen osoitteita
Windowsin sisäänrakennetun haittaohjelma- ja virustorjuntatyökalun, Microsoft Defenderin, takana oleva tiimi on varoittanut uudesta uhkasta, joka käyttää pikakuvakkeita laitteiden tartuttamiseen pääasiassa USB-asemien kautta.
Haittaohjelma korvaa siirrettävien tallennusvälineiden tiedostot pikakuvakkeilla (.lnk-tiedostoilla), jotka käynnistävät tartunnan suoritettaessa, ryhtyy vastatoimiin estääkseen virustorjuntaohjelmistojen mahdollisen skannauksen ja poiston sekä käyttää anonymisoitua Tor-pohjaista viestintää välttääkseen havaitsemisen.
Samalla haittaohjelma leviää kopioimalla itsensä kaikkiin tartunnan saaneeseen tietokoneeseen liitettyihin USB-muistitikuihin. Se suorittaa myös prosessin, joka voi toteuttaa erilaisia tehtäviä, kuten muuttaa käyttäjien tartunnan saaneen laitteen leikepöydälle kopioimia osoitteita.
Haittaohjelma, joka toimii jatkuvasti tartunnan saaneella laitteella, skannaa muistia etsiäkseen sitä, mitä Microsoft kutsuu ”arvokkaiksi taloudellisiksi artefakteiksi”: se tunnistaa leikepöydän tiedoista 12- tai 24-sanaiset BIP39-siemenlauseet ja lähettää ne hyökkääjille yhdessä viiden kuvakaappauksen kanssa, jotka antavat kontekstia lompakon sisällöstä ja siinä olevista varoista.
Lisäksi kryptovaluutan varastava haittaohjelma etsii muistista 500 millisekunnin välein suosittujen kryptoprojektien, kuten bitcoinin, tronin ja moneron, osoitteita.
Jos se löytää tällaisia osoitteita, se olettaa käyttäjän kopioivan niitä transaktion suorittamista varten ja korvaa ne vastaavilla osoitteilla, jotka ovat hyökkääjän hallinnassa, jotta tämä voi kaapata tartunnan saaneen laitteen käyttäjien lähettämät varat.
”Tämä haittaohjelmasuku osoittaa, kuinka kevyet, skriptipohjaiset varastajat voivat aiheuttaa valtavan vaikutuksen, kun ne yhdistetään nimettömään viestintään ja ajonaikaiseen tehtävien suorittamiseen”, Microsoft Defender -tiimi korosti.
Tartuntojen torjumiseksi tiimi suosittelee automaattisen suorituksen poistamista käytöstä kaikilla siirrettävillä tallennusvälineillä sekä pikakuvakkeiden suorittamisen estämistä siirrettäviltä asemilta, jotka on tunnistettu haittaohjelman tärkeimmiksi leviämisväyliksi.
Tämä artikkeli on käännetty englannista tekoälyn avulla. Alkuperäinen englanninkielinen versio on auktoritatiivinen lähde; automaattiset käännökset voivat sisältää epätarkkuuksia, erityisesti oikeudellisessa ja sääntelyyn liittyvässä terminologiassa.
