Microsoft Defenderは6月17日に、新しいUSBベースのマルウェアについて警告しました。このマルウェアは、シードフレーズを盗み取り、ウォレットアドレスを置き換えることで暗号資産ユーザーを狙います。マルウェアはショートカットファイルを使い、検知を回避するためにTorを搭載した通信を用いてUSBドライブを介して拡散します。Microsoftは、この脅威が12語または24語のBIP39シードフレーズを盗み取り、さらにビットコイン、トロン、モネロのアドレスを500ミリ秒ごとにスキャンして、取引を攻撃者が管理するウォレットへ誘導すると述べました。
マルウェアは暗号アドレスを置き換え、USBショートカット経由でシードフレーズを盗む
Microsoft Defenderチームは6月17日のブログ投稿で、このマルウェアがリムーバブルメディアのストレージデバイス上のファイルを置き換え、実行されると感染を引き起こすショートカット(.lnkファイル)を使用することを警告しました。このマルウェアは、アンチウイルスソフトによるスキャンや削除への対策を講じ、検知回避のために匿名化されたTor搭載の通信を利用します。
このマルウェアは、感染したコンピュータに挿入された任意のUSBドライブへ自身をコピーすることで拡散します。ユーザーが感染したデバイスのクリップボードにコピーしたアドレスを変更するなど、さまざまなタスクを実行できるプロセスを起動します。
このマルウェアは影響を受けたデバイス上で継続的に動作し、Microsoftが「高価値の金融アーティファクト」と呼ぶもののためにメモリをスキャンします。クリップボードデータ内で12語または24語のBIP39シードフレーズを検出すると、それらを攻撃者へ送信し、さらにウォレットの内容や資金を把握するためのスクリーンショットを5枚同時に送ります。
暗号クリッパーは、500ミリ秒ごとにメモリ内でビットコイン、トロン、モネロのアドレスをスキャンします。何かが見つかると、ユーザーが取引を実行するためにそのアドレスをコピーしていると想定し、感染したデバイスからユーザーが送った資金を確保するために、攻撃者の管理下にある同様のアドレスへとそれを変更します。
「このマルウェアファミリーは、匿名化された通信と実行時のタスキングと組み合わせることで、軽量なスクリプトベースのスティーラーが過大な影響をもたらし得ることを示しています」とMicrosoft Defenderチームは述べました。
Microsoftはオートランを無効化し、リムーバブルドライブからのショートカットをブロックすることを推奨
感染を抑えるために、Microsoft Defenderチームは、すべてのリムーバブルメディアの内容に対するオートランを無効化し、マルウェアの主な拡散経路として特定されているリムーバブルドライブからのショートカットの実行をブロックすることを推奨しています。
FAQ
Microsoft Defenderは6月17日に何について警告しましたか?
Microsoft Defenderは、12語または24語のBIP39シードフレーズを盗み取り、さらにビットコイン、トロン、モネロの暗号資産ウォレットアドレスを置き換えて取引を攻撃者が管理するウォレットへ誘導する、新しいUSBベースのマルウェアについて警告しました。
マルウェアはどのようにして他のデバイスへ拡散しますか?
このマルウェアは、リムーバブルメディアのストレージデバイス上のファイルをショートカット(.lnk)ファイルに置き換え、実行されると感染を引き起こし、さらに感染したコンピュータに挿入された任意のUSBドライブへ自身をコピーします。
Microsoftはどのような対策を推奨しましたか?
Microsoftは、すべてのリムーバブルメディアの内容に対するオートランを無効化し、マルウェアの主な拡散経路であるリムーバブルドライブからのショートカットの実行をブロックすることを推奨しています。
