Microsoft har varnat för ett skadligt program som sprids via USB-minnen och som använder Windows-genvägsfiler för att infektera enheter. Det så kallade ”clipper”-programmet söker efter kryptoadresser i urklipp och ersätter dem med andra adresser som kontrolleras av angriparna.
Microsoft varnar för ny USB-baserad skadlig programvara som riktar sig mot kryptovalutaanvändare
SKRIVEN AV
DELA
Viktiga punkter
- Microsoft Defender har upptäckt ett nytt USB-skadligt program som utsätter bitcoin-transaktioner för stöld.
- Skriptet stjäl 12- eller 24-ordiga seed-fraser, vilket hotar säkerheten för Tron- och Monero-plånböcker.
- Microsoft uppmanar nu användare att blockera genvägar för att förhindra att skadlig programvara sprids via flyttbara enheter.
Microsoft varnar för Windows-skadlig kod som ändrar kryptovalutaadresser
Teamet bakom Microsoft Defender, Windows inbyggda verktyg för skydd mot skadlig kod och virus, har varnat för ett nytt hot som använder genvägar för att infektera enheter, främst via USB-enheter.
Malwaren ersätter filer på flyttbara lagringsenheter med genvägar (.lnk-filer) som utlöser infektionen när de körs, vidtar motåtgärder mot eventuell skanning och radering av antivirusprogram och använder anonymiserad Tor-baserad kommunikation för att undvika upptäckt.
Samtidigt sprider sig skadlig programvaran genom att kopiera sig själv till alla USB-minnen som ansluts till en infekterad dator. Den kör också en process som kan utföra olika uppgifter, bland annat att ändra de adresser som användarna kopierar till urklipp på den infekterade enheten.
Malwaren, som kontinuerligt körs på den drabbade enheten, skannar minnet efter vad Microsoft kallar ”finansiella artefakter av högt värde”, upptäcker 12- eller 24-ordiga BIP39-fröfraser i urklippets data och skickar dem till angriparna, tillsammans med fem skärmdumpar för att ge sammanhang om plånbokens innehåll och de medel den innehåller.
Dessutom söker kryptoklipparen igenom minnet var 500 millisekunder efter adresser till populära kryptoprojekt, däribland bitcoin, tron och monero.
Om den hittar någon sådan adress antar den att användaren kopierar den för att genomföra en transaktion och byter ut den mot en liknande adress, men en adress som kontrolleras av angriparen för att lägga beslag på de medel som användarna på den infekterade enheten skickar.
”Denna familj av skadlig programvara visar hur lätta, skriptbaserade stöldprogram kan orsaka enorma skador när de kombineras med anonymiserad kommunikation och uppgifter som körs under körning”, betonade Microsoft Defender-teamet.
För att minska risken för infektioner rekommenderar teamet att man inaktiverar automatisk körning för innehåll på alla flyttbara medier och blockerar körningen av genvägar från flyttbara enheter, vilka har identifierats som de främsta spridningsvektorerna för skadlig programvara.
Den här artikeln har översatts från engelska med hjälp av AI. Den engelska originalversionen är den auktoritativa källan; automatiska översättningar kan innehålla felaktigheter, särskilt i juridisk och regulatorisk terminologi.
