微软警告针对加密用户的新型USB病毒攻击

关键要点

• 微软 Defender 标记了一种新的USB恶意软件，暴露比特币交易被盗的风险。
• 该脚本窃取12或24个单词的助记词，威胁到tron和门罗币钱包的安全。
• 微软随后敦促用户阻止快捷方式，以防止恶意软件通过可移动驱动器传播。

微软警告关于会更改加密货币地址的Windows恶意软件

微软 Defender 背后的团队，Windows内置的恶意软件和病毒安全工具，已警告一种利用快捷方式感染设备的新威胁，主要通过USB驱动器传播。

该恶意软件用快捷方式（.lnk文件）替换可移动存储设备上的文件，当执行时触发感染，采取措施防止杀毒软件扫描和删除，并使用匿名的Tor通信以避免被检测。

同时，恶意软件通过将自身复制到插入感染电脑的任何USB驱动器进行传播。它还运行一个可以执行各种任务的进程，包括更改用户复制到感染设备剪贴板中的地址。

这种持续在受影响设备上运行的恶意软件，会扫描内存中的“高价值金融资产”，检测剪贴板数据中的12或24个单词的BIP39助记词，并将其发送给攻击者，还会附带五张截图，以提供钱包内容和资金的上下文信息。

此外，加密货币剪贴器每500毫秒扫描一次内存中的流行加密项目地址，包括比特币、tron和门罗币。

如果发现任何地址，它会假设用户正在复制以执行交易，并将其更改为类似的地址，但该地址由攻击者控制，以便接管用户在感染设备上发送的资金。

“这种恶意软件家族展示了轻量级、基于脚本的窃取工具在配合匿名通信和运行时任务时，能够带来巨大影响，” 微软 Defender团队强调。

为减轻感染风险，团队建议禁用所有可移动媒体内容的自动运行，并阻止从可移动驱动器执行快捷方式，这已被确认是该恶意软件的主要传播途径。