微軟警告針對加密用戶的新型USB病毒攻擊

微軟已警告一種通過使用 Windows 快捷方式文件的閃存驅動器傳播的惡意軟件，該惡意軟件會感染設備。所謂的“剪刀手”惡意軟件會在剪貼簿中搜索加密地址，並用攻擊者控制的其他地址替換它們。

• 主要要點：
• • 微軟 Defender 警告一種新的 USB 惡意軟件，可能導致比特幣交易被盜。
• • 該腳本竊取 12 或 24 個詞的種子短語，威脅 Tron 和門羅幣錢包的安全。
• • 微軟接著建議用戶阻止快捷方式，以防止惡意軟件通過可移動驅動器傳播。

微軟警告 Windows 惡意軟件會更改加密貨幣地址

微軟 Defender、Windows 內建的惡意軟件和病毒安全工具背後的團隊，已警告一種利用快捷方式感染設備的新威脅，主要通過 USB 驅動器傳播。

該惡意軟件會用快捷方式（.lnk 文件）取代可移動媒體存儲設備上的文件，當執行時觸發感染，並採取措施對抗殺毒軟件的掃描和刪除，還使用匿名的 Tor 支持通信來避免被偵測。

同時，該惡意軟件通過將自己複製到插入感染電腦的任何 USB 驅動器來傳播。它還運行一個可以執行各種任務的進程，包括更改用戶複製到受感染設備剪貼簿中的地址。

這個持續在受感染設備上運行的惡意軟件會掃描記憶體中的“高價值金融資產”，檢測剪貼簿數據中的 12 或 24 個詞的 BIP39 种子短語，並將它們連同五張截圖一併發送給攻擊者，以提供錢包內容和資金的背景信息。

此外，該加密貨幣剪刀手每 500 毫秒就會在記憶體中掃描一次流行加密項目的地址，包括比特幣、Tron 和門羅幣。

如果找到任何地址，它會假設用戶正在複製它以執行交易，並將其更換為類似的地址，但該地址由攻擊者控制，以掌控受感染設備中用戶發送的資金。

“這個惡意軟件家族展示了輕量級、基於腳本的竊取工具在配合匿名通信和運行時任務時，能帶來巨大影響，” 微軟 Defender 團隊強調。

為了減少感染風險，團隊建議禁用所有可移動媒體內容的自動運行，並阻止從可移動驅動器執行快捷方式，因為這些已被確定為該惡意軟件的主要傳播途徑。