Microsoft cảnh báo phần mềm độc hại qua USB đánh cắp cụm từ seed crypto và thay thế địa chỉ ví

Microsoft Defender đã cảnh báo vào ngày 17 tháng 6 về một loại mã độc mới dựa trên USB nhắm mục tiêu người dùng tiền mã hóa bằng cách đánh cắp cụm từ seed và thay thế địa chỉ ví. Mã độc lây lan qua ổ đĩa USB bằng các tệp shortcut, đồng thời sử dụng liên lạc được hỗ trợ bởi Tor để tránh bị phát hiện. Microsoft cho biết mối đe dọa đánh cắp các cụm seed BIP39 gồm 12 hoặc 24 từ và quét các địa chỉ bitcoin, tron và monero mỗi 500 mili giây để chuyển các giao dịch sang ví do kẻ tấn công kiểm soát.

Mã độc thay thế địa chỉ crypto và đánh cắp seed phrase qua shortcut USB

Nhóm Microsoft Defender đã cảnh báo trong một bài đăng blog ngày 17 tháng 6 rằng mã độc thay thế các tệp trên thiết bị lưu trữ phương tiện di động bằng shortcut (.lnk), kích hoạt lây nhiễm khi được thực thi. Mã độc thực hiện các biện pháp đối phó với việc quét và xóa bởi phần mềm chống virus, đồng thời sử dụng liên lạc ẩn danh dựa trên Tor để tránh bị phát hiện.

Mã độc lây lan bằng cách tự sao chép sang bất kỳ ổ USB nào được cắm vào máy tính đã bị nhiễm. Nó chạy một tiến trình có thể thực thi nhiều tác vụ khác nhau, bao gồm thay đổi các địa chỉ mà người dùng sao chép vào bảng nhớ tạm (clipboard) của thiết bị bị nhiễm.

Mã độc liên tục chạy trên các thiết bị bị ảnh hưởng và quét bộ nhớ tìm cái mà Microsoft gọi là “các tài sản tài chính giá trị cao”. Nó phát hiện các cụm seed BIP39 12 hoặc 24 từ trong dữ liệu clipboard và gửi chúng cho kẻ tấn công, cùng với năm ảnh chụp màn hình để cung cấp ngữ cảnh về nội dung ví và số tiền.

Crypto clipper quét các địa chỉ của bitcoin, tron và monero trong bộ nhớ mỗi 500 mili giây. Nếu tìm thấy bất kỳ địa chỉ nào, nó cho rằng người dùng đang sao chép địa chỉ để thực hiện giao dịch và thay thế bằng một địa chỉ tương tự do kẻ tấn công kiểm soát để chiếm giữ các khoản tiền được gửi từ thiết bị bị nhiễm.

“Nhóm mã độc này cho thấy các trình đánh cắp nhẹ dựa trên script có thể tạo ra tác động vượt trội khi kết hợp với liên lạc ẩn danh và tác vụ chạy thời gian thực,” nhóm Microsoft Defender cho biết.

Microsoft khuyến nghị tắt Autorun và chặn shortcut từ ổ đĩa di động

Để giảm thiểu nhiễm trùng, nhóm Microsoft Defender khuyến nghị tắt autorun cho nội dung trên mọi phương tiện di động và chặn việc thực thi shortcut từ các ổ đĩa di động, vốn đã được xác định là các kênh lây lan chính của mã độc.

Câu hỏi thường gặp

Microsoft Defender đã cảnh báo gì vào ngày 17 tháng 6?
Microsoft Defender đã cảnh báo về một mã độc mới dựa trên USB đánh cắp các cụm seed BIP39 12 hoặc 24 từ và thay thế địa chỉ ví tiền mã hóa cho bitcoin, tron và monero để chuyển hướng giao dịch sang các ví do kẻ tấn công kiểm soát.

Mã độc lây lan sang thiết bị khác như thế nào?
Mã độc thay thế các tệp trên thiết bị lưu trữ phương tiện di động bằng các tệp shortcut (.lnk) kích hoạt lây nhiễm khi được thực thi, đồng thời tự sao chép sang bất kỳ ổ USB nào được cắm vào máy tính đã bị nhiễm.

Microsoft đã khuyến nghị các bước giảm thiểu nào?
Microsoft khuyến nghị tắt autorun cho nội dung trên mọi phương tiện di động và chặn việc thực thi shortcut từ các ổ đĩa di động, là các kênh lây lan chính của mã độc.