マイクロソフトは、仮想通貨ユーザーを標的とした新たなUSB経由のマルウェアについて警告しました。

Microsoft、仮想通貨アドレスを改変するWindowsマルウェアについて警告

Windowsに標準搭載されているマルウェア・ウイルス対策ツール「Microsoft Defender」の開発チームは、主にUSBドライブ経由でショートカットファイルを利用してデバイスに感染する新たな脅威について警告しました。

このマルウェアは、リムーバブルメディア上のファイルを感染を引き起こすショートカット（.lnkファイル）に置き換え、ウイルス対策ソフトによるスキャンや削除を回避する仕組みを持ち、匿名化されたTor通信で検出を逃れます。

同時に、このマルウェアは感染したコンピュータに挿入されたUSBドライブに自身をコピーして拡散します。さらに、感染デバイスで実行中のプロセスを通じて、クリップボードにコピーされたアドレスを書き換えるなど、さまざまなタスクを実行します。

感染したデバイス上で常駐するこのマルウェアはメモリをスキャンし、マイクロソフトが「高価値の金融関連データ」と呼ぶものを検出します。クリップボードデータ内に12語または24語からなるBIP39シードフレーズが見つかった場合は、ウォレットの内容や残高を把握するためのスクリーンショット5枚と共に攻撃者に送信します。

さらに、このクリプトクリッパーは500ミリ秒ごとにメモリ内をスキャンし、ビットコイン、トロン、モネロなどの人気暗号資産プロジェクトのアドレスを探します。

アドレスが見つかった場合、ユーザーが取引のためにそれをコピーしたものと判断し、攻撃者が制御する類似アドレスに書き換えます。これにより、感染デバイスから送金される資金を横取りできます。

「このマルウェアファミリーは、軽量なスクリプトベースの窃取型マルウェアが、匿名化された通信や実行時タスクと組み合わさることで、いかに甚大な影響をもたらし得るかを示しています」とMicrosoft Defenderチームは強調しました。

感染の軽減策として、同チームはリムーバブルメディア上のコンテンツに対する自動実行を無効にし、リムーバブルドライブからのショートカット実行をブロックすることを推奨しています。これらは本マルウェアの主な拡散経路として特定されています。