マイクロソフトディフェンダー、Windowsに組み込まれたマルウェアおよびウイルス対策ツールの開発チームは、USBドライブを主な感染経路とする新たな脅威について警告しました。
このマルウェアは、リムーバブルメディアストレージデバイス上のファイルをショートカット(.lnkファイル)に置き換え、実行されると感染を引き起こします。さらに、スキャンや削除を防ぐための対策を講じ、匿名化されたTorを利用した通信を用いて検出を回避します。
同時に、このマルウェアは感染したコンピュータに挿入されたUSBドライブに自身をコピーし、さまざまなタスクを実行できるプロセスも起動します。これには、ユーザーがクリップボードにコピーしたアドレスを変更する操作も含まれます。
このマルウェアは、影響を受けたデバイス上で常に動作し続け、Microsoftが「高価値な金融アーティファクト」と呼ぶメモリ内のデータをスキャンします。これには、クリップボード内の12または24語のBIP39シードフレーズを検出し、それらを攻撃者に送信します。さらに、ウォレットの内容や資金の状況を示す5枚のスクリーンショットも送信します。
また、暗号通貨クリッパーは、ビットコイン、トロン、モネロなどの人気暗号プロジェクトのアドレスを、500ミリ秒ごとにメモリ内でスキャンします。
もしアドレスを見つけた場合、それを取引のためにコピーしたと判断し、攻撃者が管理する類似のアドレスに置き換えます。これにより、感染したデバイスから送信される資金を攻撃者が掌握できる仕組みです。
「このマルウェアファミリーは、匿名化通信とランタイムタスクと組み合わせることで、軽量なスクリプトベースの盗用ツールでも大きな影響をもたらすことができることを示しています」 と、マイクロソフトディフェンダーチームは強調しました。
感染を防ぐために、チームはすべてのリムーバブルメディアのコンテンツに対して自動再生を無効にし、リムーバブルドライブからのショートカットの実行をブロックすることを推奨しています。これらはマルウェアの主な拡散経路と特定されています。
1.12M 人気度
20.41M 人気度
60.97K 人気度
869.4K 人気度
2.07M 人気度
Microsoftは暗号通貨ユーザーを狙った新しいUSBベースのマルウェアについて警告
重要なポイント
マイクロソフト、暗号通貨アドレスを変更するWindowsマルウェアについて警告
マイクロソフトディフェンダー、Windowsに組み込まれたマルウェアおよびウイルス対策ツールの開発チームは、USBドライブを主な感染経路とする新たな脅威について警告しました。
このマルウェアは、リムーバブルメディアストレージデバイス上のファイルをショートカット(.lnkファイル)に置き換え、実行されると感染を引き起こします。さらに、スキャンや削除を防ぐための対策を講じ、匿名化されたTorを利用した通信を用いて検出を回避します。
同時に、このマルウェアは感染したコンピュータに挿入されたUSBドライブに自身をコピーし、さまざまなタスクを実行できるプロセスも起動します。これには、ユーザーがクリップボードにコピーしたアドレスを変更する操作も含まれます。
このマルウェアは、影響を受けたデバイス上で常に動作し続け、Microsoftが「高価値な金融アーティファクト」と呼ぶメモリ内のデータをスキャンします。これには、クリップボード内の12または24語のBIP39シードフレーズを検出し、それらを攻撃者に送信します。さらに、ウォレットの内容や資金の状況を示す5枚のスクリーンショットも送信します。
また、暗号通貨クリッパーは、ビットコイン、トロン、モネロなどの人気暗号プロジェクトのアドレスを、500ミリ秒ごとにメモリ内でスキャンします。
もしアドレスを見つけた場合、それを取引のためにコピーしたと判断し、攻撃者が管理する類似のアドレスに置き換えます。これにより、感染したデバイスから送信される資金を攻撃者が掌握できる仕組みです。
「このマルウェアファミリーは、匿名化通信とランタイムタスクと組み合わせることで、軽量なスクリプトベースの盗用ツールでも大きな影響をもたらすことができることを示しています」 と、マイクロソフトディフェンダーチームは強調しました。
感染を防ぐために、チームはすべてのリムーバブルメディアのコンテンツに対して自動再生を無効にし、リムーバブルドライブからのショートカットの実行をブロックすることを推奨しています。これらはマルウェアの主な拡散経路と特定されています。