微软 Defender 于 6 月 17 日警告一种新的基于 USB 的恶意软件,该软件通过窃取种子短语并替换钱包地址来针对加密货币用户。该恶意软件使用带快捷方式文件的 USB 驱动器进行传播,并借助由 Tor 赋能的通信来规避检测。微软表示,该威胁会窃取 12 或 24-word 的 BIP39 种子短语,并且每 500 毫秒扫描一次比特币、tron 和门罗(monero)地址,以便将交易重定向至攻击者控制的钱包。
恶意软件通过 USB 快捷方式替换加密地址并窃取种子短语
微软 Defender 团队在 6 月 17 日发布的博客文章中警告称,该恶意软件会将可移动媒体存储设备上的文件替换为快捷方式(.lnk 文件),当执行时会触发感染。该恶意软件会采取针对杀毒软件扫描和删除的对策,并使用匿名化的 Tor 赋能通信来避免被检测。
该恶意软件会通过将自身复制到感染计算机中插入的任何 USB 驱动器来进行传播。它会运行一个进程,该进程可以执行各种任务,包括将用户复制的地址更改为感染设备剪贴板中的内容。
该恶意软件会在受影响设备上持续运行,并扫描内存中微软所称的“高价值金融载体”。它会在剪贴板数据中检测 12 或 24-word 的 BIP39 种子短语,并将其发送给攻击者,同时发送五张截图以提供有关钱包内容和资金的上下文信息。
加密剪贴板劫持程序每 500 毫秒会在内存中扫描比特币、tron 和门罗(monero)的地址。若发现任何地址,它就会假设用户正在复制该地址以发起交易,并将其替换为在攻击者控制下的相似地址,从而接管感染设备中用户发送的资金。
“这个恶意软件家族展示了,当恶意软件与匿名化通信和运行时任务调度相结合时,轻量级的基于脚本的窃取器如何能带来夸张的影响,”微软 Defender 团队表示。
微软建议禁用自动播放并阻止来自可移动驱动器的快捷方式
为缓解感染,微软 Defender 团队建议对所有可移动媒体内容禁用自动播放,并阻止从可移动驱动器执行快捷方式;这些快捷方式已被识别为该恶意软件的主要传播向量。
FAQ
微软 Defender 在 6 月 17 日警告了什么?
微软 Defender 警告了一种新的基于 USB 的恶意软件:它窃取 12 或 24-word 的 BIP39 种子短语,并替换比特币、tron 和门罗(monero)的加密货币钱包地址,以将交易重定向至攻击者控制的钱包。
恶意软件如何传播到其他设备?
该恶意软件会将可移动媒体存储设备上的文件替换为快捷方式(.lnk)文件;这些文件在执行时会触发感染,并会将自身复制到感染计算机中插入的任何 USB 驱动器。
微软建议了哪些缓解措施?
微软建议对所有可移动媒体内容禁用自动播放,并阻止从可移动驱动器执行快捷方式;这些是该恶意软件的主要传播向量。
