Firma Microsoft ostrzegła przed złośliwym oprogramowaniem, które rozprzestrzenia się za pośrednictwem pamięci USB i wykorzystuje pliki skrótów systemu Windows do infekowania urządzeń. Tak zwane złośliwe oprogramowanie „clipper” wyszukuje adresy kryptowalutowe w schowku i zastępuje je innymi adresami kontrolowanymi przez atakujących.
Microsoft ostrzega przed nowym złośliwym oprogramowaniem wykorzystującym nośniki USB, wymierzonym w użytkowników kryptowalut
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze informacje
- Program Microsoft Defender wykrył nowe złośliwe oprogramowanie atakujące pamięci USB, które naraża transakcje bitcoinowe na kradzież.
- Skrypt kradnie 12- lub 24-wyrazowe frazy seed, zagrażając bezpieczeństwu portfeli Tron i Monero.
- Następnie firma Microsoft wzywa użytkowników do blokowania skrótów, aby powstrzymać rozprzestrzenianie się złośliwego oprogramowania za pośrednictwem nośników wymiennych.
Microsoft ostrzega przed złośliwym oprogramowaniem dla systemu Windows, które zmienia adresy kryptowalut
Zespół odpowiedzialny za Microsoft Defender, wbudowane w system Windows narzędzie do ochrony przed złośliwym oprogramowaniem i wirusami, ostrzegł przed nowym zagrożeniem, które wykorzystuje skróty do infekowania urządzeń, głównie za pośrednictwem nośników USB.
Złośliwe oprogramowanie zastępuje pliki na nośnikach pamięci wymiennych skrótami (pliki .lnk), które po uruchomieniu powodują infekcję, podejmuje działania zapobiegające ewentualnemu skanowaniu i usunięciu przez oprogramowanie antywirusowe oraz wykorzystuje anonimową komunikację opartą na sieci Tor, aby uniknąć wykrycia.
Jednocześnie złośliwe oprogramowanie rozprzestrzenia się, kopiując się na wszystkie pamięci USB podłączone do zainfekowanego komputera. Uruchamia również proces, który może wykonywać różne zadania, w tym zmianę adresów skopiowanych przez użytkowników do schowka zainfekowanego urządzenia.
Złośliwe oprogramowanie, które działa nieprzerwanie na zainfekowanym urządzeniu, skanuje pamięć w poszukiwaniu tego, co Microsoft nazywa „artyfaktami o wysokiej wartości finansowej”, wykrywając w danych schowka 12- lub 24-wyrazowe frazy seed BIP39 i wysyłając je do atakujących wraz z pięcioma zrzutami ekranu, które dostarczają kontekstu dotyczącego zawartości portfela i znajdujących się w nim środków.
Ponadto program typu „crypto clipper” co 500 milisekund skanuje pamięć w poszukiwaniu adresów popularnych projektów kryptowalutowych, w tym bitcoin, tron i monero.
Jeśli je znajdzie, zakłada, że użytkownik kopiuje je w celu przeprowadzenia transakcji, i zastępuje je podobnym adresem, który jednak znajduje się pod kontrolą atakującego, aby przejąć środki wysyłane przez użytkowników z zainfekowanego urządzenia.
„Ta rodzina złośliwego oprogramowania pokazuje, jak niewielkie, oparte na skryptach programy kradnące dane mogą wywrzeć ogromny wpływ w połączeniu z anonimową komunikacją i zadaniami wykonywanymi w czasie rzeczywistym” – podkreślił zespół Microsoft Defender.
Aby ograniczyć ryzyko infekcji, zespół zaleca wyłączenie funkcji automatycznego uruchamiania treści na wszystkich nośnikach wymiennych oraz blokowanie uruchamiania skrótów z dysków wymiennych, które zostały zidentyfikowane jako główne wektory rozprzestrzeniania się złośliwego oprogramowania.
Ten artykuł został przetłumaczony z języka angielskiego przy użyciu sztucznej inteligencji. Oryginalna wersja angielska jest źródłem autorytatywnym; tłumaczenia automatyczne mogą zawierać nieścisłości, zwłaszcza w terminologii prawnej i regulacyjnej.
