Microsoft Defender เตือนเมื่อวันที่ 17 มิถุนายน เกี่ยวกับมัลแวร์ตัวใหม่ที่ติดตั้งผ่าน USB โดยมุ่งเป้าผู้ใช้คริปโต ด้วยการขโมยวลี seed phrase และแทนที่ที่อยู่กระเป๋าเงิน (wallet address) มัลแวร์จะแพร่กระจายผ่านไดรฟ์ USB โดยใช้ไฟล์ทางลัด (shortcut) และใช้การสื่อสารผ่าน Tor เพื่อหลบเลี่ยงการตรวจจับ Microsoft ระบุว่าภัยคุกคามขโมยวลี seed phrase ของ BIP39 แบบ 12 หรือ 24 คำ และสแกนหา “ที่อยู่” ของ bitcoin, tron และ monero ทุก 500 มิลลิวินาที เพื่อเปลี่ยนเส้นทางธุรกรรมไปยังกระเป๋าเงินที่ผู้โจมตีควบคุม
Malware Replaces Crypto Addresses and Steals Seed Phrases via USB Shortcuts
ทีม Microsoft Defender เตือนในบล็อกโพสต์เมื่อวันที่ 17 มิถุนายน ว่ามัลแวร์ดังกล่าวจะแทนที่ไฟล์บนอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ด้วยไฟล์ทางลัด (.lnk) ซึ่งจะกระตุ้นการติดเชื้อเมื่อมีการเรียกใช้งาน มัลแวร์มีมาตรการรับมือการสแกนและการลบของซอฟต์แวร์แอนตี้ไวรัส และใช้การสื่อสารผ่าน Tor ที่ไม่ระบุตัวตนเพื่อหลบเลี่ยงการตรวจจับ
มัลแวร์แพร่กระจายด้วยการคัดลอกตัวเองไปยังไดรฟ์ USB ใดก็ตามที่ถูกเสียบเข้ากับคอมพิวเตอร์ที่ติดเชื้อ จากนั้นจะรันกระบวนการที่สามารถทำงานต่าง ๆ ได้ รวมถึงการเปลี่ยนที่อยู่ที่ผู้ใช้คัดลอกไปยังคลิปบอร์ดของอุปกรณ์ที่ติดเชื้อ
มัลแวร์จะทำงานอย่างต่อเนื่องบนอุปกรณ์ที่ได้รับผลกระทบ และสแกนหน่วยความจำเพื่อหา “สิ่งประดิษฐ์ทางการเงินมูลค่าสูง” ตามที่ Microsoft เรียกไว้ มันตรวจพบ seed phrase ของ BIP39 แบบ 12 หรือ 24 คำในข้อมูลคลิปบอร์ด และส่งต่อให้ผู้โจมตี พร้อมด้วยภาพหน้าจอ 5 ภาพ เพื่อให้ข้อมูลบริบทเกี่ยวกับเนื้อหาของกระเป๋าเงินและเงินทุน
crypto clipper สแกนหา “ที่อยู่” ของ bitcoin, tron และ monero ในหน่วยความจำทุก 500 มิลลิวินาที หากพบ จะสันนิษฐานว่าผู้ใช้กำลังคัดลอกที่อยู่เพื่อทำธุรกรรม และจะเปลี่ยนไปเป็นที่อยู่ที่คล้ายกันซึ่งอยู่ภายใต้การควบคุมของผู้โจมตี เพื่อยึดเงินที่ผู้ใช้ส่งในอุปกรณ์ที่ติดเชื้อ
“ตระกูลมัลแวร์นี้แสดงให้เห็นว่าเครื่องมือขโมยข้อมูลแบบเบาและใช้สคริปต์สามารถสร้างผลกระทบมหาศาลได้ เมื่อจับคู่กับการสื่อสารแบบไม่ระบุตัวตนและการจัดการงานขณะรันไทม์” ทีม Microsoft Defender ระบุ
Microsoft Recommends Disabling Autorun and Blocking Shortcuts from Removable Drives
เพื่อบรรเทาการติดเชื้อ ทีม Microsoft Defender แนะนำให้ปิด autorun สำหรับเนื้อหาทั้งหมดบนสื่อแบบถอดได้ และบล็อกการเรียกใช้งานไฟล์ทางลัดจากไดรฟ์แบบถอดได้ ซึ่งถูกระบุว่าเป็นช่องทางหลักที่ใช้ในการแพร่กระจายของมัลแวร์
FAQ
Microsoft Defender เตือนเกี่ยวกับอะไรเมื่อวันที่ 17 มิถุนายน?
Microsoft Defender เตือนเกี่ยวกับมัลแวร์บน USB ตัวใหม่ที่ขโมย seed phrase ของ BIP39 แบบ 12 หรือ 24 คำ และแทนที่ที่อยู่กระเป๋าเงินคริปโตสำหรับ bitcoin, tron และ monero เพื่อเปลี่ยนเส้นทางธุรกรรมไปยังกระเป๋าเงินที่ผู้โจมตีควบคุม
มัลแวร์แพร่ไปยังอุปกรณ์อื่นได้อย่างไร?
มัลแวร์จะทำการแทนที่ไฟล์บนอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ด้วยไฟล์ทางลัด (.lnk) ที่จะกระตุ้นการติดเชื้อเมื่อถูกเรียกใช้ และจะคัดลอกตัวเองไปยังไดรฟ์ USB ใด ๆ ที่ถูกเสียบเข้ากับคอมพิวเตอร์ที่ติดเชื้อ
Microsoft แนะนำขั้นตอนลดความเสี่ยงอะไรบ้าง?
Microsoft แนะนำให้ปิด autorun สำหรับเนื้อหาทั้งหมดบนสื่อแบบถอดได้ และบล็อกการเรียกใช้งานไฟล์ทางลัดจากไดรฟ์แบบถอดได้ ซึ่งเป็นช่องทางหลักที่ใช้ในการแพร่กระจายของมัลแวร์
