Microsoft har varslet om en skadevare som sprer seg via minnepinner ved å bruke Windows-snarveifiler til å infisere enheter. Den såkalte «clipper»-skadevaren leter etter krypto-adresser i utklippstavlen og bytter dem ut med andre adresser kontrollert av angripere.
Microsoft advarer om ny USB-basert skadevare som retter seg mot kryptobrukere
SKREVET AV
DEL
Viktige poeng
- Microsoft Defender flagget en ny USB-skadevare som utsetter bitcoin-transaksjoner for tyveri.
- Skriptet stjeler seed-fraser på 12 eller 24 ord, og truer sikkerheten til tron- og monero-lommebøker.
- Microsoft oppfordrer nå brukere til å blokkere snarveier for å hindre at skadevaren sprer seg via flyttbare lagringsenheter.
Microsoft varsler om Windows-skadevare som endrer kryptovalutaadresser
Teamet bak Microsoft Defender, Windows’ innebygde verktøy for beskyttelse mot skadevare og virus, har advart om en ny trussel som bruker snarveier til å infisere enheter, hovedsakelig via USB-stasjoner.
Skadevaren erstatter filer på flyttbare lagringsenheter med snarveier (.lnk-filer) som utløser infeksjonen når de kjøres, iverksetter mottiltak mot mulig skanning og sletting av antivirusprogramvare, og bruker anonymisert Tor-basert kommunikasjon for å unngå oppdagelse.
Samtidig sprer skadevaren seg ved å kopiere seg selv til alle USB-stasjoner som settes inn i en infisert datamaskin. Den kjører også en prosess som kan utføre ulike oppgaver, inkludert å endre adressene brukere kopierer til utklippstavlen på den infiserte enheten.
Skadevaren, som kjører kontinuerlig på den berørte enheten, skanner minnet etter det Microsoft kaller «høyverdige finansielle artefakter», oppdager 12- eller 24-ords BIP39 seed-fraser i utklippstavledata og sender dem til angriperne, sammen med fem skjermbilder for å gi kontekst om lommebokinnholdet og midlene den inneholder.
I tillegg skanner crypto-clipperen etter adresser til populære kryptoprosjekter, inkludert bitcoin, tron og monero, i minnet hvert 500. millisekund.
Hvis den finner noen, antar den at brukeren kopierer adressen for å gjennomføre en transaksjon og bytter den ut med en lignende adresse, men som er under angriperens kontroll, slik at angriperen kan få tak i midlene som sendes av brukerne på den infiserte enheten.
«Denne skadevarefamilien viser hvordan lettvekts, skriptbaserte stjelere kan gi uforholdsmessig stor effekt når de kombineres med anonymisert kommunikasjon og oppgavestyring under kjøring», understreket Microsoft Defender-teamet.
For å begrense infeksjoner anbefaler teamet å deaktivere autorun for innhold på alle flyttbare medier og å blokkere kjøring av snarveier fra flyttbare stasjoner, som er identifisert som de viktigste spredningsvektorene for skadevaren.
Denne artikkelen er oversatt fra engelsk ved hjelp av kunstig intelligens. Den originale engelske versjonen er den autoritative kilden; automatiske oversettelser kan inneholde unøyaktigheter, særlig i juridisk og regulatorisk terminologi.
