Microsoft ha segnalato la presenza di un malware che si diffonde tramite chiavette USB e che utilizza i file di collegamento di Windows per infettare i dispositivi. Il malware, denominato “clipper”, ricerca gli indirizzi di criptovaluta presenti negli appunti e li sostituisce con altri indirizzi controllati dagli autori dell’attacco.
Microsoft mette in guardia da un nuovo malware basato su USB che prende di mira gli utenti di criptovalute
SCRITTO DA
CONDIVIDI
Punti chiave
- Microsoft Defender ha individuato un nuovo malware USB che espone le transazioni in bitcoin al rischio di furto.
- Lo script ruba le frasi seed da 12 o 24 parole, minacciando la sicurezza dei portafogli Tron e Monero.
- Microsoft esorta inoltre gli utenti a bloccare i collegamenti per impedire al malware di diffondersi tramite unità rimovibili.
Microsoft avverte della presenza di un malware per Windows che modifica gli indirizzi delle criptovalute
Il team di Microsoft Defender, lo strumento di sicurezza integrato in Windows contro malware e virus, ha segnalato una nuova minaccia che utilizza collegamenti per infettare i dispositivi, principalmente tramite unità USB.
Il malware sostituisce i file presenti sui dispositivi di archiviazione rimovibili con collegamenti (file .lnk) che, una volta eseguiti, innescano l’infezione; adotta contromisure contro eventuali scansioni e cancellazioni da parte dei software antivirus e utilizza comunicazioni anonimizzate basate su Tor per eludere il rilevamento.
Allo stesso tempo, il malware si propaga copiandosi su qualsiasi chiavetta USB inserita in un computer infetto. Esegue inoltre un processo in grado di svolgere varie attività, tra cui la modifica degli indirizzi copiati dagli utenti negli appunti del dispositivo infetto.
Il malware, che rimane in esecuzione continua sul dispositivo colpito, analizza la memoria alla ricerca di ciò che Microsoft definisce “artefatti finanziari di alto valore”, individuando frasi seed BIP39 da 12 o 24 parole nei dati degli appunti e inviandole agli autori dell’attacco, insieme a cinque screenshot che forniscono il contesto relativo al contenuto del portafoglio e ai fondi in esso presenti.
Inoltre, il crypto clipper esegue una scansione della memoria ogni 500 millisecondi alla ricerca di indirizzi di progetti crypto popolari, tra cui bitcoin, tron e monero.
Se ne individua uno, presume che l’utente lo stia copiando per eseguire una transazione e lo sostituisce con un indirizzo simile, ma controllato dall’autore dell’attacco, in modo da appropriarsi dei fondi inviati dagli utenti dal dispositivo infetto.
«Questa famiglia di malware dimostra come gli stealer leggeri e basati su script possano avere un impatto enorme se abbinati a comunicazioni anonime e all’esecuzione di attività in runtime», ha sottolineato il team di Microsoft Defender.
Per mitigare le infezioni, il team raccomanda di disabilitare l’esecuzione automatica dei contenuti su tutti i supporti rimovibili e di bloccare l’esecuzione dei collegamenti da unità rimovibili, che sono stati identificati come i principali vettori di propagazione del malware.
Questo articolo è stato tradotto dall'inglese tramite IA. La versione originale in inglese è la fonte autorevole; le traduzioni automatiche possono contenere imprecisioni, in particolare nella terminologia legale e normativa.
