A Microsoft figyelmeztetett egy olyan kártevőre, amely USB-meghajtókon keresztül terjed, és Windows parancsikonfájlokat használ az eszközök megfertőzéséhez. Az úgynevezett „clipper” kártevő a vágólapon található kriptovaluta-címeket keresi, és azokat a támadók által ellenőrzött címekkel cseréli ki.
A Microsoft figyelmeztet egy új, USB-n terjedő kártevőre, amely a kriptovaluta-felhasználókat veszi célba
ÍRTA
MEGOSZTÁS
Főbb tanulságok
- A Microsoft Defender egy új USB-malware-t jelzett, amely a bitcoin-tranzakciókat lopásnak teszi ki.
- A szkript ellopja a 12 vagy 24 szóból álló magszavakat, veszélyeztetve ezzel a Tron és a Monero pénztárcák biztonságát.
- A Microsoft arra buzdítja a felhasználókat, hogy blokkolják a parancsikonokat, hogy megakadályozzák a kártevő terjedését a cserélhető meghajtókon keresztül.
A Microsoft figyelmeztet a kriptovaluta-címeket megváltoztató Windows-malware-re
A Microsoft Defender, a Windows beépített rosszindulatú program- és vírusvédelmi eszközének fejlesztőcsapata figyelmeztetett egy új fenyegetésre, amely parancsikonokat használ az eszközök megfertőzésére, elsősorban USB-meghajtók segítségével.
A kártevő a cserélhető adathordozók fájljait parancsikonokkal (.lnk fájlok) cseréli ki, amelyek futtatásukkor elindítják a fertőzést; ellenintézkedéseket hoz a víruskereső szoftverek általi esetleges vizsgálat és törlés ellen; valamint anonimizált, Tor-alapú kommunikációt használ a felderítés elkerülésére.
Ugyanakkor a rosszindulatú program úgy terjed, hogy lemásolja magát minden olyan USB-meghajtóra, amelyet a fertőzött számítógépbe csatlakoztatnak. Ezenkívül futtat egy folyamatot, amely különböző feladatokat hajthat végre, többek között megváltoztathatja azokat a címeket, amelyeket a felhasználók a fertőzött eszköz vágólapjára másoltak.
A fertőzött eszközön folyamatosan futó kártevő átvizsgálja a memóriát a Microsoft által „nagy értékű pénzügyi artefaktumoknak” nevezett elemek után kutatva, felismeri a vágólap adatai között található 12 vagy 24 szavas BIP39 magfázisokat, és azokat öt képernyőkép kíséretében elküldi a támadóknak, hogy kontextust nyújtson a pénztárca tartalmáról és az abban található pénzeszközökről.
Ezen felül a kriptovaluta-klipper 500 milliszekundumonta átvizsgálja a memóriát a népszerű kriptoprojektek – többek között a bitcoin, a tron és a monero – címei után kutatva.
Ha ilyet talál, azt feltételezi, hogy a felhasználó tranzakció végrehajtása céljából másolja azt, és egy hasonló címre cseréli, amely azonban a támadó ellenőrzése alatt áll, hogy így megszerezze a fertőzött eszközön lévő felhasználók által elküldött pénzeszközöket.
„Ez a kártevőcsalád jól példázza, hogy a könnyű, szkriptalapú adatlopók milyen hatalmas károkat okozhatnak, ha névtelen kommunikációval és futásidejű feladatkezeléssel párosulnak” – hangsúlyozta a Microsoft Defender csapata.
A fertőzések enyhítése érdekében a csapat azt javasolja, hogy tiltsák le az automatikus futtatást minden cserélhető adathordozón, és blokkolják a cserélhető meghajtókról származó parancsikonok futtatását, mivel ezeket azonosították a kártevő fő terjedési vektorainak.
Ezt a cikket mesterséges intelligencia segítségével fordították le angolról. Az eredeti angol nyelvű változat a hiteles forrás; az automatikus fordítások pontatlanságokat tartalmazhatnak, különösen a jogi és szabályozási terminológiában.
