Microsoft heeft gewaarschuwd voor malware die zich verspreidt via USB-sticks en die Windows-snelkoppelingsbestanden gebruikt om apparaten te infecteren. De zogenaamde „clipper“-malware zoekt naar crypto-adressen in het klembord en vervangt deze door andere adressen die onder controle staan van de aanvallers.
Microsoft waarschuwt voor nieuwe USB-malware die gericht is op gebruikers van cryptovaluta
GESCHREVEN DOOR
DELEN
Belangrijkste punten
- Microsoft Defender heeft een nieuwe USB-malware gesignaleerd die bitcoin-transacties kwetsbaar maakt voor diefstal.
- Het script steelt seed-zinnen van 12 of 24 woorden, waardoor de veiligheid van Tron- en Monero-wallets in gevaar komt.
- Microsoft dringt er vervolgens bij gebruikers op aan om snelkoppelingen te blokkeren om te voorkomen dat de malware zich via verwisselbare schijven verspreidt.
Microsoft waarschuwt voor Windows-malware die cryptocurrency-adressen wijzigt
Het team achter Microsoft Defender, de in Windows ingebouwde beveiligingstool tegen malware en virussen, heeft gewaarschuwd voor een nieuwe bedreiging die snelkoppelingen gebruikt om apparaten te infecteren, voornamelijk via USB-sticks.
De malware vervangt bestanden op verwijderbare opslagmedia door snelkoppelingen (.lnk-bestanden) die bij uitvoering de infectie activeren, neemt maatregelen tegen mogelijke scans en verwijdering door antivirussoftware en maakt gebruik van geanonimiseerde, op Tor gebaseerde communicatie om detectie te voorkomen.
Tegelijkertijd verspreidt de malware zich door zichzelf te kopiëren naar alle USB-sticks die in een geïnfecteerde computer worden gestoken. Ook voert de malware een proces uit dat verschillende taken kan uitvoeren, waaronder het wijzigen van de adressen die door gebruikers naar het klembord van het geïnfecteerde apparaat zijn gekopieerd.
De malware, die continu op het getroffen apparaat draait, scant het geheugen op wat Microsoft „financiële artefacten van hoge waarde“ noemt, detecteert BIP39-seed-zinnen van 12 of 24 woorden in klembordgegevens en stuurt deze naar de aanvallers, samen met vijf schermafbeeldingen om context te geven over de inhoud van de wallet en het daarin aanwezige saldo.
Daarnaast scant de crypto-clipper elke 500 milliseconden het geheugen op adressen van populaire cryptoprojecten, waaronder bitcoin, tron en monero.
Als hij er een vindt, gaat hij ervan uit dat de gebruiker deze kopieert om een transactie uit te voeren en vervangt hij deze door een vergelijkbaar adres, dat echter onder controle staat van de aanvaller om zo het geld in beslag te nemen dat door de gebruikers op het geïnfecteerde apparaat wordt verzonden.
"Deze malwarefamilie laat zien hoe lichtgewicht, op scripts gebaseerde stealers een buitenproportionele impact kunnen hebben wanneer ze worden gecombineerd met geanonimiseerde communicatie en runtime-taken", benadrukte het Microsoft Defender-team.
Om infecties te beperken, raadt het team aan om autorun voor inhoud op alle verwisselbare media uit te schakelen en de uitvoering van snelkoppelingen vanaf verwisselbare schijven te blokkeren, aangezien deze zijn geïdentificeerd als de belangrijkste verspreidingsvectoren van de malware.
Dit artikel is met behulp van AI uit het Engels vertaald. De originele Engelstalige versie is de gezaghebbende bron; geautomatiseerde vertalingen kunnen onnauwkeurigheden bevatten, met name in juridische en regelgevende terminologie.
