Podjetje Microsoft je opozorilo na zlonamerno programsko opremo, ki se širi prek pomnilniških ključev USB in za okužbo naprav uporablja datoteke s skrajšankami sistema Windows. Tako imenovana zlonamerna programska oprema »clipper« išče naslove kriptovalut v odložišču in jih nadomesti z drugimi naslovi, ki jih nadzorujejo napadalci.
Microsoft opozarja na novo zlonamerno programsko opremo, ki se širi prek USB-ključev in je usmerjena v uporabnike kriptovalut
NAPISAL
DELI
Ključne ugotovitve
- Microsoft Defender je zaznal novo zlonamerno programsko opremo za USB-ključke, ki izpostavlja transakcije z bitcoini nevarnosti kraje.
- Skript ukrade 12- ali 24-besedne izhodiščne fraze, kar ogroža varnost denarnic za kriptovalute Tron in Monero.
- Microsoft nato uporabnike poziva, naj blokirajo bližnjice, da preprečijo širjenje zlonamerne programske opreme prek odstranljivih pogonov.
Microsoft opozarja na zlonamerno programsko opremo za Windows, ki spreminja naslove kriptovalut
Ekipa, ki stoji za Microsoft Defenderjem, vgrajenim orodjem za zaščito pred zlonamerno programsko opremo in virusi v sistemu Windows, je opozorila na novo grožnjo, ki za okuževanje naprav uporablja bližnjice, predvsem prek USB-ključev.
Zlonamerna programska oprema nadomesti datoteke na odstranljivih nosilcih podatkov s bližnjicami (datotekami .lnk), ki ob izvedbi sprožijo okužbo, sprejme protiukrepe proti morebitnemu skeniranju in brisanju s strani protivirusne programske opreme ter uporablja anonimizirano komunikacijo prek omrežja Tor, da se izogne odkrivanju.
Hkrati se zlonamerna programska oprema širi tako, da se kopira na vse USB-ključke, vstavljene v okuženi računalnik. Prav tako izvaja proces, ki lahko opravlja različne naloge, vključno s spreminjanjem naslovov, ki jih uporabniki kopirajo v odložišče okužene naprave.
Zlonamerna programska oprema, ki neprekinjeno teče na prizadeti napravi, pregleduje pomnilnik za tisto, kar Microsoft imenuje »finančni artefakti visoke vrednosti«, pri čemer v podatkih odložišča zazna 12- ali 24-besedne BIP39-semenske fraze in jih pošlje napadalcem, skupaj s petimi posnetki zaslona, ki ponujajo kontekst o vsebini denarnice in sredstvih, ki jih ta vsebuje.
Poleg tega »crypto clipper« vsakih 500 milisekund v pomnilniku išče naslove priljubljenih kriptovalutnih projektov, vključno z bitcoini, tron in monero.
Če kakšnega najde, domneva, da ga uporabnik kopira za izvedbo transakcije, in ga zamenja s podobnim naslovom, ki pa je pod nadzorom napadalca, da ta prevzame sredstva, ki jih pošljejo uporabniki z okužene naprave.
»Ta družina zlonamerne programske opreme kaže, kako lahko lahki, na skriptih temelječi programi za krajo podatkov povzročijo izjemno velik vpliv, če so združeni z anonimizirano komunikacijo in izvajanjem nalog v ozadju,« je poudarila ekipa Microsoft Defender.
Za zmanjšanje tveganja okužb ekipa priporoča onemogočanje samodejnega zagona vsebin na vseh odstranljivih nosilcih podatkov ter blokiranje izvajanja bližnjic s odstranljivih pogonov, ki so bili identificirani kot glavni vektorji širjenja zlonamerne programske opreme.
Ta članek je bil iz angleščine preveden z umetno inteligenco. Izvirna angleška različica je verodostojni vir; samodejni prevodi lahko vsebujejo netočnosti, zlasti pri pravni in regulativni terminologiji.
