Wichtige Erkenntnisse
- Microsoft Defender hat eine neue USB-Malware gemeldet, die Bitcoin-Transaktionen dem Diebstahl aussetzt.
- Das Skript stiehlt Startphrasen mit 12 oder 24 Wörtern und gefährdet so die Sicherheit der Tron- und Monero-Wallets.
- Als nächstes fordert Microsoft die Benutzer dringend auf, Verknüpfungen zu blockieren, um die Ausbreitung der Malware über Wechseldatenträger zu verhindern.
Microsoft warnt vor sich ändernder Windows-Malware Kryptowährung Adressen
Das Team hinter Microsoft Defender, dem integrierten Malware- und Virenschutztool von Windows, hat dies getan gewarnt über eine neue Bedrohung, die Verknüpfungen verwendet, um Geräte zu infizieren, hauptsächlich über USB-Laufwerke.
Die Malware ersetzt Dateien auf Wechselmedien-Speichergeräten durch Verknüpfungen (.lnk-Dateien), die bei Ausführung die Infektion auslösen, ergreift Gegenmaßnahmen gegen mögliches Scannen und Löschen durch Antivirensoftware und nutzt anonymisierte Tor-gestützte Kommunikation, um einer Erkennung zu entgehen.
Gleichzeitig verbreitet sich die Malware, indem sie sich auf alle USB-Laufwerke kopiert, die an einen infizierten Computer angeschlossen sind. Außerdem wird ein Prozess ausgeführt, der verschiedene Aufgaben ausführen kann, einschließlich der Änderung der von Benutzern in die Zwischenablage des infizierten Geräts kopierten Adressen.
Die Malware, die kontinuierlich auf dem betroffenen Gerät ausgeführt wird, durchsucht den Speicher nach „hochwertigen Finanzartefakten“, wie Microsoft es nennt, und erkennt BIP39 mit 12 oder 24 Wörtern Samenphrasen in der Zwischenablage und sendet sie an die Angreifer, zusammen mit fünf Screenshots, um Kontext über den Inhalt der Brieftasche und die darin enthaltenen Gelder zu liefern.
Darüber hinaus ist die Krypto Clipper sucht nach beliebten Adressen Krypto Projekte, darunter BitcoinTron und Monero werden alle 500 Millisekunden im Speicher gespeichert.
Wenn eine solche Adresse gefunden wird, geht sie davon aus, dass der Benutzer sie kopiert, um eine Transaktion auszuführen, und ändert sie in eine ähnliche Adresse, die jedoch unter der Kontrolle des Angreifers steht, um an die von den Benutzern gesendeten Gelder auf dem infizierten Gerät zu gelangen.
„Diese Malware-Familie zeigt, wie leichte, skriptbasierte Stealer in Kombination mit anonymisierter Kommunikation und Laufzeittasking eine enorme Wirkung erzielen können.“ betonte das Microsoft Defender-Team.
Um Infektionen einzudämmen, empfiehlt das Team, die automatische Ausführung von Inhalten auf allen Wechseldatenträgern zu deaktivieren und die Ausführung von Verknüpfungen von Wechseldatenträgern zu blockieren, die als Hauptverbreitungsvektoren der Malware identifiziert wurden.
