Компания Microsoft предупредила о вредоносном ПО, которое распространяется через флеш-накопители и использует файлы ярлыков Windows для заражения устройств. Вредоносное ПО под названием «clipper» ищет криптовалютные адреса в буфере обмена и заменяет их другими адресами, контролируемыми злоумышленниками.
Microsoft предупреждает о появлении нового вредоносного ПО, распространяющегося через USB и нацеленного на пользователей криптовалют
АВТОР
ПОДЕЛИТЬСЯ
Основные выводы
- Microsoft Defender обнаружил новое вредоносное ПО для USB-накопителей, которое подвергает биткоин-транзакции риску кражи.
- Скрипт похищает 12- или 24-словные фразы-семена, что ставит под угрозу безопасность кошельков Tron и Monero.
- Кроме того, Microsoft призывает пользователей блокировать ярлыки, чтобы предотвратить распространение вредоносного ПО через съемные накопители.
Microsoft предупреждает о вредоносном ПО для Windows, изменяющем адреса криптовалют
Команда разработчиков Microsoft Defender, встроенного в Windows инструмента защиты от вредоносных программ и вирусов, предупредила о новой угрозе, которая использует ярлыки для заражения устройств, в основном через USB-накопители.
Вредоносное ПО заменяет файлы на съемных носителях на ярлыки (файлы .lnk), которые при запуске запускают процесс заражения, принимает меры против возможного сканирования и удаления антивирусным ПО, а также использует анонимную связь через сеть Tor, чтобы избежать обнаружения.
В то же время вредоносное ПО распространяется, копируя себя на любые USB-накопители, вставленные в зараженный компьютер. Оно также запускает процесс, способный выполнять различные задачи, в том числе изменять адреса, скопированные пользователями в буфер обмена зараженного устройства.
Вредоносное ПО, постоянно работающее на зараженном устройстве, сканирует память в поисках того, что Microsoft называет «ценными финансовыми артефактами», обнаруживая в данных буфера обмена 12- или 24-словные семенные фразы BIP39 и отправляя их злоумышленникам вместе с пятью скриншотами, дающими представление о содержимом кошелька и находящихся в нем средствах.
Кроме того, крипто-клиппер каждые 500 миллисекунд сканирует память в поисках адресов популярных криптовалютных проектов, включая биткойн, Tron и Monero.
Если он находит такие адреса, он предполагает, что пользователь копирует их для выполнения транзакции, и заменяет их на похожие адреса, которые находятся под контролем злоумышленника, чтобы завладеть средствами, отправленными пользователями с заражённого устройства.
«Это семейство вредоносных программ демонстрирует, как легкие, основанные на скриптах программы-кражи данных могут наносить огромный ущерб в сочетании с анонимной связью и выполнением задач во время работы системы», — подчеркнула команда Microsoft Defender.
Для снижения риска заражения команда рекомендует отключить автозапуск контента на всех съемных носителях и заблокировать запуск ярлыков с съемных дисков, которые были определены как основные векторы распространения вредоносного ПО.
Эта статья была переведена с английского языка с помощью искусственного интеллекта. Оригинальная версия на английском языке является авторитетным источником; автоматические переводы могут содержать неточности, особенно в юридической и нормативной терминологии.
