微軟警告針對加密貨幣用戶的新型USB病毒攻擊

主要重點

• 微軟 Defender 警告一種新型 USB 惡意軟件，會暴露比特幣交易被盜的風險。
• 該腳本竊取 12 或 24 字的種子短語，威脅 Tron 和門羅幣錢包的安全。
• 微軟接著呼籲用戶阻止快捷方式，以防止惡意軟件透過可移動驅動器傳播。

微軟警告 Windows 惡意軟件會更改加密貨幣地址

微軟 Defender，Windows 內建的惡意軟件與病毒安全工具背後的團隊，已警告一種利用快捷方式感染設備的新威脅，主要通過 USB 驅動器傳播。

該惡意軟件會用快捷方式（.lnk 文件）取代可移動媒體存儲設備上的文件，執行時觸發感染，採取反掃描和刪除的措施，並使用匿名的 Tor 通訊來避免被偵測。

同時，該惡意軟件會將自己複製到插入受感染電腦的任何 USB 驅動器中。它還會運行一個能執行各種任務的進程，包括更改用戶複製到剪貼簿的地址。

這個持續在受感染設備上運行的惡意軟件，會掃描記憶體中的“高價值金融資產”，偵測剪貼簿資料中的 12 或 24 字 BIP39 种子短語，並將它們連同五張截圖（用以提供錢包內容和資金狀況的背景資訊）傳送給攻擊者。

此外，該加密貨幣剪貼簿還會每 500 毫秒掃描記憶體中的流行加密貨幣地址，包括比特幣、Tron 和門羅幣。

如果找到任何地址，它會假設用戶正在複製地址以執行交易，並將其更改為類似的地址，但該地址由攻擊者控制，以攔截用戶在受感染設備上發送的資金。

“這個惡意軟件家族展示了輕量級、基於腳本的竊取工具如何在配合匿名通訊和運行時任務時產生巨大影響，” 微軟 Defender 團隊強調。

為了降低感染風險，團隊建議禁用所有可移動媒體內容的自動運行，並阻止從可移動驅動器執行快捷方式，這些已被確認是該惡意軟件的主要傳播途徑。