微软已就一种通过U盘传播的恶意软件发出警告,该恶意软件利用Windows快捷方式文件感染设备。这种被称为“clipper”的恶意软件会搜索剪贴板中的加密货币地址,并将其替换为攻击者控制的其他地址。
微软警告称,一种针对加密货币用户的基于USB的新型恶意软件已现身
分享
Key Takeaways
- 要点摘要:
- 微软Defender检测到一种新型USB恶意软件,该软件会使比特币交易面临被盗风险。
- 该脚本会窃取12或24个单词的助记词,威胁波场(TRON)和门罗币(Monero)钱包的安全。
- 微软随后敦促用户屏蔽快捷方式,以阻止该恶意软件通过可移动存储设备传播。
微软就篡改加密货币地址的Windows恶意软件发布警报
作为 Windows 内置恶意软件和病毒防护工具的 Microsoft Defender 团队已警告称,一种新型威胁正利用快捷方式感染设备,主要通过 USB 驱动器传播。
该恶意软件会将可移动存储设备上的文件替换为快捷方式(.lnk文件),这些快捷方式在执行时会触发感染;同时,它还会采取反制措施以应对杀毒软件可能进行的扫描和删除,并利用基于Tor的匿名通信来规避检测。
与此同时,该恶意软件会将自身复制到插入受感染计算机的任何USB驱动器中以进行传播。它还会运行一个进程,该进程可执行多种任务,包括更改用户复制到受感染设备剪贴板的地址。
该恶意软件在受感染设备上持续运行,会扫描内存中微软所称的“高价值金融痕迹”,检测剪贴板数据中12或24个单词的BIP39种子短语,并将它们连同五张屏幕截图一并发送给攻击者,以提供有关钱包内容及其所含资金的背景信息。
此外,该加密货币剪切器每隔500毫秒就会在内存中扫描热门加密货币项目(包括比特币、波场和门罗币)的地址。
一旦发现此类地址,该程序便会推断用户正在复制该地址以执行交易,并将其替换为一个相似的地址——该地址由攻击者控制,用于截取受感染设备用户发送的资金。
“这一恶意软件家族表明,基于脚本的轻量级窃取程序若与匿名通信和运行时任务相结合,将产生巨大的破坏力,”微软 Defender 团队强调道。
为减轻感染风险,该团队建议禁用所有可移动存储介质内容的自动运行功能,并阻止从可移动驱动器执行快捷方式——这些已被确认为该恶意软件的主要传播途径。
本文由人工智能从英文翻译而来。英文原版为权威来源;自动翻译可能存在不准确之处,尤其是在法律和监管术语方面。
