A Microsoft alertou sobre um malware que se espalha por meio de pen drives que utilizam arquivos de atalho do Windows para infectar dispositivos. O chamado malware “clipper” procura endereços de criptomoedas na área de transferência e os substitui por outros endereços controlados pelos invasores.
A Microsoft alerta sobre um novo malware baseado em USB que tem como alvo usuários de criptomoedas
ESCRITO POR
PARTILHAR
Pontos principais
- O Microsoft Defender identificou um novo malware para pen drives que expõe transações de bitcoin ao risco de roubo.
- O script rouba frases-semente de 12 ou 24 palavras, ameaçando a segurança das carteiras de Tron e Monero.
- A Microsoft recomenda que os usuários bloqueiem os atalhos para impedir que o malware se espalhe por meio de unidades removíveis.
Microsoft alerta sobre malware do Windows que altera endereços de criptomoedas
A equipe por trás do Microsoft Defender, a ferramenta de segurança contra vírus e malware integrada ao Windows, alertou sobre uma nova ameaça que usa atalhos para infectar dispositivos, principalmente por meio de unidades USB.
O malware substitui arquivos em dispositivos de armazenamento removíveis por atalhos (arquivos .lnk) que desencadeiam a infecção quando executados, toma medidas para evitar possíveis varreduras e exclusões por softwares antivírus e usa comunicação anônima via Tor para evitar a detecção.
Ao mesmo tempo, o malware se propaga copiando-se para qualquer pen drive inserido em um computador infectado. Ele também executa um processo capaz de realizar várias tarefas, incluindo a alteração dos endereços copiados pelos usuários para a área de transferência do dispositivo infectado.
O malware, que é executado continuamente no dispositivo afetado, varre a memória em busca do que a Microsoft chama de “artefatos financeiros de alto valor”, detectando frases-semente BIP39 de 12 ou 24 palavras nos dados da área de transferência e enviando-as aos invasores, juntamente com cinco capturas de tela para fornecer contexto sobre o conteúdo da carteira e os fundos nela contidos.
Além disso, o crypto clipper verifica a memória a cada 500 milissegundos em busca de endereços de projetos de criptomoedas populares, incluindo bitcoin, tron e monero.
Se encontrar algum, ele presume que o usuário está copiando-o para executar uma transação e o substitui por um endereço semelhante, mas que está sob o controle do invasor para se apropriar dos fundos enviados pelos usuários no dispositivo infectado.
“Essa família de malware mostra como roubadores leves, baseados em scripts, podem causar um impacto desproporcional quando combinados com comunicações anônimas e tarefas em tempo de execução”, destacou a equipe do Microsoft Defender.
Para mitigar as infecções, a equipe recomenda desativar a execução automática de conteúdo em todas as mídias removíveis e bloquear a execução de atalhos a partir de unidades removíveis, que foram identificadas como os principais vetores de propagação do malware.
Este artigo foi traduzido do inglês usando IA. A versão original em inglês é a fonte autorizada; traduções automáticas podem conter imprecisões, especialmente em terminologia jurídica e regulatória.
