A Microsoft alerta que malware via USB rouba frases-semente de criptomoedas e substitui endereços de carteiras

A Microsoft Defender alertou em 17 de junho sobre um novo malware baseado em USB que mira usuários de criptomoedas ao roubar frases-semente e substituir endereços de carteiras. O malware se propaga por meio de unidades USB usando arquivos de atalho e utiliza comunicação com Tor para evitar detecção. A Microsoft afirmou que a ameaça rouba frases-semente BIP39 de 12 ou 24 palavras e verifica endereços de bitcoin, tron e monero a cada 500 milissegundos para redirecionar transações para carteiras controladas pelo atacante.

O malware substitui endereços cripto e rouba frases-semente via atalhos de USB

A equipe do Microsoft Defender alertou em um post no blog de 17 de junho que o malware substitui arquivos em dispositivos de armazenamento de mídia removível por atalhos (.lnk) que disparam a infecção quando são executados. O malware cria contramedidas contra a varredura e a exclusão por softwares antivírus e usa comunicação anonimizada com Tor para evitar detecção.

O malware se propaga copiando-se para quaisquer unidades USB conectadas a um computador infectado. Ele executa um processo que pode realizar várias tarefas, incluindo alterar endereços copiados pelos usuários para a área de transferência do dispositivo infectado.

O malware roda continuamente nos dispositivos afetados e faz varredura na memória em busca do que a Microsoft chama de “artefatos financeiros de alto valor”. Ele detecta frases-semente BIP39 de 12 ou 24 palavras nos dados da área de transferência e as envia aos atacantes, junto com cinco capturas de tela para dar contexto sobre o conteúdo da carteira e os fundos.

O clipper cripto verifica endereços de bitcoin, tron e monero na memória a cada 500 milissegundos. Se encontrar algum, ele presume que o usuário está copiando o endereço para executar uma transação e o altera por um endereço semelhante sob controle do atacante, para se apropriar dos fundos enviados pelos usuários no dispositivo infectado.

“Esta família de malware mostra como ladrões leves baseados em script podem causar um impacto desproporcional quando combinados com comunicações anonimizadas e execução em tempo de execução”, afirmou a equipe do Microsoft Defender.

A Microsoft recomenda desabilitar o autorun e bloquear atalhos de unidades removíveis

Para mitigar infecções, a equipe do Microsoft Defender recomenda desabilitar o autorun para o conteúdo em todas as mídias removíveis e bloquear a execução de atalhos de unidades removíveis, que foram identificadas como os principais vetores de propagação do malware.

FAQ

O que a Microsoft Defender alertou em 17 de junho?
A Microsoft Defender alertou sobre um novo malware baseado em USB que rouba frases-semente BIP39 de 12 ou 24 palavras e substitui endereços de carteiras de criptomoedas para bitcoin, tron e monero, a fim de redirecionar transações para carteiras controladas pelo atacante.

Como o malware se propaga para outros dispositivos?
O malware substitui arquivos em dispositivos de armazenamento de mídia removível por arquivos de atalho (.lnk) que disparam a infecção quando são executados, e copia a si mesmo para quaisquer unidades USB inseridas em um computador infectado.

Que medidas de mitigação a Microsoft recomendou?
A Microsoft recomenda desabilitar o autorun para o conteúdo em todas as mídias removíveis e bloquear a execução de atalhos de unidades removíveis, que são os principais vetores de propagação do malware.