Microsoftは暗号通貨ユーザーを狙った新しいUSBベースのマルウェアについて警告

Microsoftは、Windowsショートカットファイルを利用してデバイスを感染させるフラッシュドライブ経由のマルウェアについて警告を発しました。いわゆる「クリッパー」マルウェアは、クリップボード内の暗号通貨アドレスを検索し、攻撃者が管理する他のアドレスに置き換えます。

• 重要なポイント：
• • Microsoft Defenderは、ビットコイン取引の盗難を露呈する新しいUSBマルウェアを警告しました。
• • このスクリプトは12または24語のシードフレーズを盗み、トロンやモネロのウォレットのセキュリティを脅かします。
• • Microsoftは次に、マルウェアの拡散を防ぐためにショートカットのブロックを推奨しています。

Microsoft、暗号通貨アドレスを変更するWindowsマルウェアについて警告

Microsoft Defender、Windowsに組み込まれたマルウェアおよびウイルス対策ツールの背後にいるチームは、USBドライブを主な感染経路として、デバイスを感染させるショートカットを利用した新たな脅威について警告しました。

このマルウェアは、取り外し可能なメディアストレージデバイス上のファイルをショートカット（.lnkファイル）に置き換え、実行されると感染を引き起こします。また、ウイルス対策ソフトによるスキャンや削除を回避するための対策を講じ、匿名化されたTorを利用した通信を用いて検出を逃れます。

同時に、このマルウェアは感染したコンピュータに挿入されたUSBドライブに自身をコピーして拡散します。また、さまざまなタスクを実行できるプロセスも動作し、ユーザーがコピーしたアドレスを変更することもあります。

このマルウェアは、影響を受けたデバイス上で常駐し、Microsoftが「高価値な金融アーティファクト」と呼ぶメモリ内のデータをスキャンします。これには、クリップボード内の12または24語のBIP39シードフレーズを検出し、それらを攻撃者に送信するとともに、ウォレットの内容や資金の状況を示す5枚のスクリーンショットも送信します。

さらに、暗号クリッパーは、ビットコイン、トロン、モネロなどの人気暗号プロジェクトのアドレスを、500ミリ秒ごとにメモリ内でスキャンします。

もし見つかった場合、それを取引を実行するためにコピーしていると判断し、類似のアドレスに置き換えますが、そのアドレスは攻撃者の管理下にあり、ユーザーが送信した資金を奪取します。

**「このマルウェアファミリーは、匿名化された通信と実行時のタスクと組み合わせることで、軽量なスクリプトベースの盗用ツールが大きな影響をもたらすことを示しています」**とMicrosoft Defenderチームは強調しました。

感染を防ぐために、チームはすべてのリムーバブルメディアのコンテンツに対する自動実行を無効にし、リムーバブルドライブからのショートカットの実行をブロックすることを推奨しています。これらはマルウェアの主な拡散経路として特定されています。