Компанія Microsoft попередила про шкідливе програмне забезпечення, яке поширюється через флеш-накопичувачі та використовує файли ярликів Windows для зараження пристроїв. Так зване шкідливе програмне забезпечення «clipper» шукає криптовалютні адреси в буфері обміну та замінює їх іншими адресами, що контролюються зловмисниками.
Microsoft попереджає про нове шкідливе програмне забезпечення, що поширюється через USB і націлене на користувачів криптовалют
АВТОР
ПОДІЛИТИСЯ
Основні висновки
- Microsoft Defender виявив нове шкідливе програмне забезпечення для USB-накопичувачів, яке наражає біткойн-транзакції на ризик крадіжки.
- Скрипт викрадає 12- або 24-слівні фрази-посів, що ставить під загрозу безпеку гаманців Tron та Monero.
- Microsoft також закликає користувачів блокувати ярлики, щоб запобігти поширенню шкідливого програмного забезпечення через знімні носії.
Microsoft попереджає про шкідливе програмне забезпечення для Windows, яке змінює адреси криптовалют
Команда Microsoft Defender, вбудованого в Windows інструменту захисту від шкідливого програмного забезпечення та вірусів, попередила про нову загрозу, яка використовує ярлики для зараження пристроїв, переважно через USB-накопичувачі.
Шкідливе програмне забезпечення замінює файли на знімних носіях на ярлики (файли .lnk), які під час запуску запускають інфікування, вживає заходів проти можливого сканування та видалення антивірусним програмним забезпеченням, а також використовує анонімний канал зв’язку на базі мережі Tor, щоб уникнути виявлення.
Водночас шкідливе програмне забезпечення поширюється, копіюючи себе на будь-які USB-накопичувачі, підключені до зараженого комп’ютера. Воно також запускає процес, здатний виконувати різні завдання, зокрема змінювати адреси, скопійовані користувачами до буфера обміну зараженого пристрою.
Шкідливе ПЗ, яке постійно працює на ураженому пристрої, сканує пам’ять у пошуках того, що Microsoft називає «фінансовими артефактами високої цінності», виявляючи у даних буфера обміну 12- або 24-слівні фрази-посівні BIP39 та надсилаючи їх зловмисникам разом із п’ятьма знімками екрана, щоб надати контекст щодо вмісту гаманця та коштів, що в ньому знаходяться.
Крім того, крипто-кліпер кожні 500 мілісекунд сканує пам’ять на наявність адрес популярних криптопроектів, зокрема біткойна, Tron та Monero.
Якщо він знаходить такі адреси, він припускає, що користувач копіює їх для здійснення транзакції, і замінює їх на подібні адреси, які перебувають під контролем зловмисника, щоб заволодіти коштами, надісланими користувачами з інфікованого пристрою.
«Ця родина шкідливих програм демонструє, як легкі, засновані на скриптах програми-крадії можуть спричинити надзвичайно великий збиток у поєднанні з анонімним зв’язком та виконанням завдань під час роботи системи», — підкреслила команда Microsoft Defender.
Щоб зменшити ризик зараження, команда рекомендує вимкнути автозапуск вмісту на всіх знімних носіях та заблокувати виконання ярликів зі знімних дисків, які було визначено як основні вектори поширення шкідливого програмного забезпечення.
Цю статтю перекладено з англійської мови за допомогою штучного інтелекту. Оригінальна англомовна версія є авторитетним джерелом; автоматичні переклади можуть містити неточності, особливо в юридичній та нормативній термінології.
