Microsoft Defender 於 6 月 17 日警告一種新的基於 USB 的惡意程式,會針對加密貨幣使用者:透過竊取種子短語(seed phrases)並取代錢包位址。該惡意程式會透過 USB 隨身碟使用捷徑檔案進行傳播,並利用由 Tor 驅動的通訊來避免被偵測。Microsoft 表示,該威脅會竊取 12 或 24 個字的 BIP39 種子短語,並以每 500 毫秒掃描一次比特幣、tron 和 monero 的位址,將交易導向攻擊者所控制的錢包。
惡意程式透過 USB 捷徑取代加密貨幣位址並竊取種子短語
Microsoft Defender 團隊在 6 月 17 日的一篇部落格貼文中警告,該惡意程式會用捷徑檔案(.lnk 檔)取代可移除式媒體儲存裝置上的檔案,當檔案被執行時就會觸發感染。該惡意程式會針對防毒軟體的掃描與刪除採取反制措施,並使用匿名化、由 Tor 驅動的通訊以避免被偵測。
惡意程式會透過將自身複製到任何插入受感染電腦的 USB 隨身碟來傳播。它會執行一個程序,該程序可以執行各種任務,包括將使用者複製的位址變更為受感染裝置剪貼簿中的內容。
惡意程式會在受影響的裝置上持續執行,並為 Microsoft 所稱的「高價值財務憑證」掃描記憶體。它會在剪貼簿資料中偵測 12 或 24 個字的 BIP39 種子短語,並將其傳送給攻擊者,同時附上五張螢幕截圖,以提供關於錢包內容與資金的上下文。
加密貨幣剪貼器會以每 500 毫秒在記憶體中掃描比特幣、tron 和 monero 的位址。若發現任何位址,它會假設使用者正要複製該位址以執行交易,並將其替換為一個相似、但由攻擊者控制的位址,藉此奪取在受感染裝置上由使用者送出的資金。
「這個惡意程式家族展示了,在搭配匿名化通訊與執行階段任務分派時,輕量級、以腳本為基礎的竊取程式如何能帶來超出預期的巨大影響力,」Microsoft Defender 團隊表示。
Microsoft 建議停用自動播放並封鎖來自可移除式磁碟的捷徑
為了降低感染風險,Microsoft Defender 團隊建議針對所有可移除式媒體停用自動播放,並封鎖從可移除式磁碟執行捷徑。這些捷徑已被識別為該惡意程式的主要傳播途徑。
FAQ
Microsoft Defender 在 6 月 17 日警告了什麼?
Microsoft Defender 警告一種新的基於 USB 的惡意程式,會竊取 12 或 24 個字的 BIP39 種子短語,並取代比特幣、tron 和 monero 的加密貨幣錢包位址,以將交易導向攻擊者所控制的錢包。
惡意程式如何傳播到其他裝置?
該惡意程式會用捷徑(.lnk)檔案取代可移除式媒體儲存裝置上的檔案,而當捷徑被執行時就會觸發感染;此外,它也會將自身複製到任何插入受感染電腦的 USB 隨身碟。
Microsoft 建議哪些緩解步驟?
Microsoft 建議針對所有可移除式媒體停用自動播放,並封鎖從可移除式磁碟執行捷徑。這些是該惡意程式的主要傳播途徑。
