Microsoft попереджає про USB-зловмисне ПЗ, яке краде криптографічні seed-фрази та підміняє адреси гаманців

Microsoft Defender попередив 17 червня про нове шкідливе ПЗ на базі USB, яке націлене на користувачів криптовалют: воно викрадає seed-фрази та замінює адреси гаманців. Шкідливе ПЗ поширюється через USB-накопичувачі, використовуючи файли скорочень (shortcut) і застосовує зв’язок із підтримкою Tor, щоб уникнути виявлення. Microsoft заявила, що загроза викрадає seed-фрази BIP39 із 12 або 24 слів і сканує адреси bitcoin, tron та monero кожні 500 мілісекунд, щоб перенаправляти транзакції на гаманці, контрольовані атакувальниками.

Malware Replaces Crypto Addresses and Steals Seed Phrases via USB Shortcuts

Команда Microsoft Defender попередила в блозі від 17 червня, що шкідливе ПЗ замінює файли на знімних носіях даних на ярлики (файли .lnk), які запускають інфікування під час виконання. Шкідливе ПЗ вживає контрзаходів проти сканування та видалення антивірусними програмами і використовує анонімізований зв’язок на базі Tor, щоб уникнути виявлення.

Шкідливе ПЗ поширюється шляхом копіювання себе на будь-які USB-накопичувачі, які вставляють в інфікований комп’ютер. Воно запускає процес, який може виконувати різні завдання, зокрема змінювати адреси, скопійовані користувачами, в буфер обміну інфікованого пристрою.

Шкідливе ПЗ постійно працює на уражених пристроях і сканує пам’ять у пошуках того, що Microsoft називає «цінними фінансовими артефактами». Воно виявляє seed-фрази BIP39 із 12 або 24 слів у даних буфера обміну та надсилає їх атакувальникам, разом із п’ятьма скріншотами, щоб надати контекст щодо вмісту гаманців і коштів.

Crypto clipper сканує адреси bitcoin, tron і monero в пам’яті кожні 500 мілісекунд. Якщо воно знаходить будь-які, то припускає, що користувач копіює адресу для виконання транзакції, і змінює її на схожу адресу під контролем атакувальника, щоб перехопити кошти, надіслані користувачами з інфікованого пристрою.

«Це сімейство шкідливого ПЗ демонструє, як легкі, скриптові викрадачі можуть мати непропорційно великий вплив у поєднанні з анонімізованими комунікаціями та завданнями під час виконання», — заявила команда Microsoft Defender.

Microsoft Recommends Disabling Autorun and Blocking Shortcuts from Removable Drives

Для пом’якшення інфікувань команда Microsoft Defender рекомендує вимкнути autorun для вмісту на всіх знімних носіях і блокувати виконання ярликів із знімних накопичувачів, які визначені як основні вектори поширення шкідливого ПЗ.

FAQ

What did Microsoft Defender warn about on June 17? Microsoft Defender попередив про нове USB-орієнтоване шкідливе ПЗ, яке викрадає seed-фрази BIP39 із 12 або 24 слів і замінює адреси криптовалютних гаманців для bitcoin, tron та monero, щоб перенаправляти транзакції на гаманці, контрольовані атакувальниками.

How does the malware propagate to other devices? Шкідливе ПЗ замінює файли на пристроях знімного зберігання даних файлами ярликів (shortcut .lnk), які запускають інфікування під час виконання, і копіює себе на будь-які USB-накопичувачі, які вставляють в інфікований комп’ютер.

What mitigation steps did Microsoft recommend? Microsoft рекомендує вимкнути autorun для вмісту на всіх знімних носіях і блокувати виконання ярликів із знімних накопичувачів, які є основними векторами поширення шкідливого ПЗ.