Microsoft đã cảnh báo về một loại phần mềm độc hại lây lan qua các ổ đĩa flash, sử dụng các tệp lối tắt của Windows để lây nhiễm vào các thiết bị. Loại phần mềm độc hại được gọi là “clipper” này sẽ tìm kiếm các địa chỉ tiền điện tử trong khay nhớ tạm và thay thế chúng bằng các địa chỉ khác do kẻ tấn công kiểm soát.
Microsoft cảnh báo về loại phần mềm độc hại mới lây lan qua USB, nhắm vào người dùng tiền điện tử
TÁC GIẢ
CHIA SẺ
Điểm chính
- Microsoft Defender đã phát hiện một loại phần mềm độc hại USB mới có thể khiến các giao dịch Bitcoin bị đánh cắp.
- Mã độc này đánh cắp các cụm từ hạt giống (seed phrase) gồm 12 hoặc 24 từ, đe dọa đến an ninh của ví Tron và Monero.
- Tiếp theo, Microsoft khuyến cáo người dùng chặn các lối tắt để ngăn phần mềm độc hại lây lan qua các ổ đĩa di động.
Microsoft cảnh báo về phần mềm độc hại trên Windows có khả năng thay đổi địa chỉ tiền điện tử
Nhóm phát triển Microsoft Defender, công cụ bảo mật chống phần mềm độc hại và vi-rút được tích hợp sẵn trong Windows, đã cảnh báo về một mối đe dọa mới sử dụng các lối tắt để lây nhiễm vào thiết bị, chủ yếu thông qua ổ USB.
Loại phần mềm độc hại này thay thế các tệp trên thiết bị lưu trữ di động bằng các lối tắt (tệp .lnk) sẽ kích hoạt quá trình lây nhiễm khi được thực thi, thực hiện các biện pháp đối phó nhằm ngăn chặn việc quét và xóa bởi phần mềm diệt virus, đồng thời sử dụng giao tiếp ẩn danh dựa trên Tor để tránh bị phát hiện.
Đồng thời, phần mềm độc hại này lây lan bằng cách sao chép chính nó vào bất kỳ ổ USB nào được cắm vào máy tính bị nhiễm. Nó cũng chạy một quy trình có thể thực hiện các tác vụ khác nhau, bao gồm thay đổi các địa chỉ mà người dùng đã sao chép vào khay nhớ tạm của thiết bị bị nhiễm.
Phần mềm độc hại này, hoạt động liên tục trên thiết bị bị ảnh hưởng, quét bộ nhớ để tìm kiếm những gì Microsoft gọi là “tài sản tài chính có giá trị cao”, phát hiện các cụm từ hạt giống BIP39 gồm 12 hoặc 24 từ trong dữ liệu khay nhớ tạm và gửi chúng cho những kẻ tấn công, kèm theo năm ảnh chụp màn hình để cung cấp bối cảnh về nội dung ví và số tiền trong đó.
Ngoài ra, phần mềm độc hại này quét bộ nhớ để tìm các địa chỉ của các dự án tiền điện tử phổ biến, bao gồm bitcoin, tron và monero, cứ sau 500 mili giây.
Nếu phát hiện bất kỳ địa chỉ nào, nó sẽ giả định rằng người dùng đang sao chép địa chỉ đó để thực hiện giao dịch và thay thế nó bằng một địa chỉ tương tự, nhưng địa chỉ này nằm dưới sự kiểm soát của kẻ tấn công nhằm chiếm đoạt số tiền do người dùng gửi từ thiết bị bị nhiễm.
"Họ phần mềm độc hại này cho thấy các công cụ đánh cắp dữ liệu nhẹ, dựa trên kịch bản có thể gây ra tác động lớn như thế nào khi kết hợp với các giao tiếp ẩn danh và tác vụ thời gian chạy," nhóm Microsoft Defender nhấn mạnh.
Để giảm thiểu nguy cơ lây nhiễm, nhóm khuyến nghị tắt tính năng tự động chạy (autorun) cho nội dung trên tất cả các phương tiện lưu trữ di động và chặn việc thực thi các phím tắt từ các ổ đĩa di động, vốn đã được xác định là các vectơ lây lan chính của phần mềm độc hại.
Bài viết này được dịch từ tiếng Anh bằng AI. Phiên bản gốc bằng tiếng Anh là nguồn có thẩm quyền; các bản dịch tự động có thể chứa thông tin không chính xác, đặc biệt là trong thuật ngữ pháp lý và quy định.
