Microsoft предупреждает о вредоносном ПО для USB-накопителей: оно крадёт криптосид-фразы и заменяет адреса кошельков

Microsoft Defender предупредил 17 июня о новом вредоносном ПО на базе USB, которое нацелено на пользователей криптовалют, похищая seed-фразы и подменяя адреса кошельков. Вредонос распространяется через USB-накопители с помощью файлов shortcut и использует коммуникацию с поддержкой Tor, чтобы избежать обнаружения. Microsoft заявила, что угроза похищает seed-фразы BIP39 длиной 12 или 24 слова и сканирует адреса bitcoin, tron и monero каждые 500 миллисекунд, чтобы перенаправлять транзакции на кошельки, контролируемые злоумышленниками.

Вредоносное ПО заменяет криптоадреса и крадёт seed-фразы через USB shortcut

Команда Microsoft Defender предупредила в блоге от 17 июня, что вредоносное ПО заменяет файлы на съемных устройствах хранения данных ярлыками (файлами .lnk), которые запускают заражение при выполнении. Вредоносное ПО принимает меры против сканирования и удаления антивирусными программами и использует анонимизированную коммуникацию на базе Tor, чтобы избежать обнаружения.

Вредонос распространяется, копируя себя на любые USB-накопители, вставленные в зараженный компьютер. Оно запускает процесс, который может выполнять различные задачи, включая изменение адресов, скопированных пользователями в буфер обмена зараженного устройства.

Вредоносное ПО постоянно работает на затронутых устройствах и сканирует память в поисках того, что Microsoft называет «финансовыми артефактами высокой ценности». Оно обнаруживает seed-фразы BIP39 на 12 или 24 слова в данных буфера обмена и отправляет их злоумышленникам вместе с пятью скриншотами, чтобы дать контекст о содержимом кошельков и средствах.

Крипто-клиппер сканирует адреса bitcoin, tron и monero в памяти каждые 500 миллисекунд. Если оно находит их, оно предполагает, что пользователь копирует адрес для выполнения транзакции, и подменяет его на похожий адрес под контролем атакующего, чтобы перехватить средства, отправленные пользователями с зараженного устройства.

«Это семейство вредоносного ПО показывает, как легковесные кражи на основе скриптов могут давать непропорционально большой эффект в сочетании с анонимизированными коммуникациями и задачами во время выполнения», — заявила команда Microsoft Defender.

Microsoft рекомендует отключить автозапуск и блокировать shortcut на съемных дисках

Для снижения риска заражений команда Microsoft Defender рекомендует отключить автозапуск (autorun) для контента на всех съемных носителях и блокировать выполнение shortcut с съемных дисков, которые были определены как основные векторы распространения вредоносного ПО.

FAQ

О чём Microsoft Defender предупредил 17 июня?
Microsoft Defender предупредил о новом вредоносном ПО на базе USB, которое крадёт seed-фразы BIP39 из 12 или 24 слов и заменяет адреса криптовалютных кошельков для bitcoin, tron и monero, чтобы перенаправлять транзакции на кошельки, контролируемые злоумышленниками.

Как вредоносное ПО распространяется на другие устройства?
Вредоносное ПО заменяет файлы на съемных устройствах хранения данных ярлыками (файлами .lnk), которые запускают заражение при выполнении, а также копирует себя на любые USB-накопители, вставленные в зараженный компьютер.

Какие меры по снижению риска порекомендовал Microsoft?
Microsoft рекомендует отключить автозапуск (autorun) для контента на всех съемных носителях и блокировать выполнение shortcut с съемных дисков, которые являются основными векторами распространения вредоносного ПО.