Microsoft a emis o avertizare cu privire la un program malware care se răspândește prin intermediul unităților flash și care utilizează fișiere de comenzi rapide Windows pentru a infecta dispozitivele. Așa-numitul program malware „clipper” caută adrese de criptomonede în clipboard și le înlocuiește cu alte adrese controlate de atacatori.
Microsoft avertizează asupra apariției unui nou malware bazat pe USB care vizează utilizatorii de criptomonede
SCRIS DE
DISTRIBUIE
Concluzii cheie
- Microsoft Defender a semnalat un nou malware USB care expune tranzacțiile cu bitcoin la furt.
- Scriptul fură fraze-semință de 12 sau 24 de cuvinte, amenințând securitatea portofelelor Tron și Monero.
- Microsoft îndeamnă utilizatorii să blocheze scurtăturile pentru a împiedica răspândirea malware-ului prin intermediul unităților de stocare amovibile.
Microsoft avertizează cu privire la un malware pentru Windows care modifică adresele de criptomonede
Echipa din spatele Microsoft Defender, instrumentul de securitate împotriva malware-ului și virușilor integrat în Windows, a avertizat cu privire la o nouă amenințare care folosește comenzi rapide pentru a infecta dispozitivele, în principal prin intermediul unităților USB.
Malware-ul înlocuiește fișierele de pe dispozitivele de stocare amovibile cu comenzi rapide (fișiere .lnk) care declanșează infecția atunci când sunt executate, ia măsuri de contracarare împotriva unei posibile scanări și ștergeri de către software-ul antivirus și utilizează comunicații anonimizate bazate pe Tor pentru a evita detectarea.
În același timp, malware-ul se propagă copiindu-se pe orice unitate USB introdusă într-un computer infectat. De asemenea, acesta rulează un proces care poate executa diverse sarcini, inclusiv modificarea adreselor copiate de utilizatori în clipboard-ul dispozitivului infectat.
Malware-ul, care rulează continuu pe dispozitivul afectat, scanează memoria în căutarea a ceea ce Microsoft numește „artefacte financiare de mare valoare”, detectând fraze-semință BIP39 de 12 sau 24 de cuvinte în datele din clipboard și trimițându-le atacatorilor, împreună cu cinci capturi de ecran pentru a oferi context cu privire la conținutul portofelului și fondurile pe care le conține.
În plus, programul de furt de criptomonede scanează memoria la fiecare 500 de milisecunde în căutarea adreselor unor proiecte populare de criptomonede, inclusiv Bitcoin, Tron și Monero.
Dacă găsește vreuna, presupune că utilizatorul o copiază pentru a efectua o tranzacție și o înlocuiește cu o adresă similară, dar care se află sub controlul atacatorului, pentru a pune mâna pe fondurile trimise de utilizatorii de pe dispozitivul infectat.
„Această familie de malware demonstrează cum programele de furt ușoare, bazate pe scripturi, pot avea un impact uriaș atunci când sunt combinate cu comunicații anonimizate și sarcini de execuție”, a subliniat echipa Microsoft Defender.
Pentru a reduce riscul de infectare, echipa recomandă dezactivarea funcției de rulare automată a conținutului de pe toate suporturile amovibile și blocarea executării comenzilor rapide de pe unitățile amovibile, care au fost identificate ca principalii vectori de propagare ai malware-ului.
Acest articol a fost tradus din limba engleză cu ajutorul inteligenței artificiale. Versiunea originală în limba engleză este sursa autoritară; traducerile automate pot conține inexactități, în special în terminologia juridică și de reglementare.
