Microsoft เตือนเกี่ยวกับมัลแวร์รูปแบบใหม่ที่แพร่ผ่าน USB โดยมุ่งเป้าไปที่ผู้ใช้คริปโต

Microsoft เตือนมัลแวร์บน Windows ที่เปลี่ยนที่อยู่สกุลเงินดิจิทัล

ทีมงานเบื้องหลัง Microsoft Defender เครื่องมือความปลอดภัยป้องกันมัลแวร์และไวรัสที่ฝังมากับ Windows ได้เตือนเกี่ยวกับภัยคุกคามรูปแบบใหม่ที่ใช้ไฟล์ทางลัดเพื่อทำให้อุปกรณ์ติดเชื้อ โดยหลักแล้วผ่านไดรฟ์ USB

มัลแวร์จะเข้าไปแทนที่ไฟล์บนอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ด้วยไฟล์ทางลัด (.lnk) ที่เมื่อรันแล้วจะกระตุ้นการติดเชื้อ มีมาตรการตอบโต้การสแกนและการลบโดยซอฟต์แวร์แอนติไวรัส และใช้การสื่อสารแบบไม่ระบุตัวตนผ่าน Tor เพื่อหลีกเลี่ยงการตรวจจับ

ในขณะเดียวกัน มัลแวร์จะแพร่กระจายโดยคัดลอกตัวเองไปยังไดรฟ์ USB ใดๆ ที่ถูกเสียบเข้ากับคอมพิวเตอร์ที่ติดเชื้อ นอกจากนี้ยังรันโปรเซสที่สามารถดำเนินงานได้หลายอย่าง รวมถึงการเปลี่ยนแปลงที่อยู่ที่ผู้ใช้คัดลอกไว้ในคลิปบอร์ดของอุปกรณ์ที่ติดเชื้อ

มัลแวร์ซึ่งทำงานต่อเนื่องบนอุปกรณ์ที่ได้รับผลกระทบนี้ จะสแกนหน่วยความจำเพื่อหา “อาร์ติแฟกต์ทางการเงินที่มีมูลค่าสูง” ตามที่ Microsoft เรียก โดยตรวจจับวลีซีด BIP39 จำนวน 12 หรือ 24 คำในข้อมูลคลิปบอร์ด และส่งให้ผู้โจมตี พร้อมกับภาพหน้าจอ 5 ภาพเพื่อให้เห็นบริบทเกี่ยวกับเนื้อหาในกระเป๋าเงินและเงินที่มีอยู่

นอกจากนี้ คริปโตคลิปเปอร์จะสแกนหาที่อยู่ของโปรเจ็กต์คริปโตยอดนิยม รวมถึง bitcoin, tron และ monero ในหน่วยความจำทุกๆ 500 มิลลิวินาที

หากพบ มันจะสันนิษฐานว่าผู้ใช้กำลังก๊อปปี้เพื่อนำไปทำธุรกรรม และจะเปลี่ยนเป็นที่อยู่ที่คล้ายกัน แต่เป็นที่อยู่ที่ผู้โจมตีควบคุม เพื่อยึดครองเงินที่ผู้ใช้ส่งจากอุปกรณ์ที่ติดเชื้อ

“ตระกูลมัลแวร์นี้แสดงให้เห็นว่าตัวขโมยข้อมูลที่มีน้ำหนักเบาและอาศัยสคริปต์ สามารถสร้างผลกระทบที่เกินตัวได้เมื่อจับคู่กับการสื่อสารแบบไม่ระบุตัวตนและการสั่งงานขณะรันไทม์” ทีม Microsoft Defender เน้นย้ำ

เพื่อบรรเทาการติดเชื้อ ทีมงานแนะนำให้ปิดการทำงานของ autorun สำหรับเนื้อหาบนสื่อแบบถอดได้ทั้งหมด และบล็อกการรันไฟล์ทางลัดจากไดรฟ์แบบถอดได้ ซึ่งถูกระบุว่าเป็นช่องทางการแพร่กระจายหลักของมัลแวร์