Microsoft met en garde contre un malware USB qui vole des phrases mnémoniques de crypto et remplace les adresses des portefeuilles

Microsoft Defender a averti le 17 juin au sujet d’un nouveau malware basé sur les USB qui cible les utilisateurs de cryptomonnaies en volant des phrases mnémoniques et en remplaçant les adresses de portefeuille. Le malware se propage via des clés USB en utilisant des fichiers de raccourci et emploie une communication alimentée par Tor pour éviter la détection. Microsoft a indiqué que la menace vole des phrases mnémoniques BIP39 de 12 ou 24 mots et qu’elle analyse les adresses bitcoin, tron et monero toutes les 500 millisecondes pour rediriger les transactions vers des portefeuilles contrôlés par l’attaquant.

Le malware remplace les adresses crypto et vole des phrases mnémoniques via des raccourcis USB

L’équipe de Microsoft Defender a averti, dans un billet de blog du 17 juin, que le malware remplace des fichiers sur des périphériques de stockage amovibles par des raccourcis (.lnk) qui déclenchent une infection lorsqu’ils sont exécutés. Le malware met en place des contre-mesures contre l’analyse et la suppression par les logiciels antivirus et utilise une communication anonymisée alimentée par Tor pour éviter la détection.

Le malware se propage en se copiant sur toute clé USB insérée dans un ordinateur infecté. Il exécute un processus qui peut réaliser diverses tâches, notamment en modifiant les adresses copiées par les utilisateurs dans le presse-papiers de l’appareil infecté.

Le malware s’exécute en continu sur les appareils touchés et analyse la mémoire à la recherche de ce que Microsoft appelle des « artefacts financiers de grande valeur ». Il détecte les phrases mnémoniques BIP39 de 12 ou 24 mots dans les données du presse-papiers et les envoie aux attaquants, avec cinq captures d’écran pour donner un contexte sur le contenu du portefeuille et les fonds.

Le clipper crypto analyse les adresses de bitcoin, tron et monero dans la mémoire toutes les 500 millisecondes. S’il en trouve, il suppose que l’utilisateur copie l’adresse pour exécuter une transaction et la modifie en une adresse similaire sous le contrôle de l’attaquant afin de s’emparer des fonds envoyés par les utilisateurs sur l’appareil infecté.

« Cette famille de malwares montre comment des voleurs légers basés sur des scripts peuvent avoir un impact disproportionné lorsqu’ils sont associés à des communications anonymisées et à une exécution pilotée à l’exécution », a déclaré l’équipe de Microsoft Defender.

Microsoft recommande de désactiver l’auto-exécution et de bloquer les raccourcis depuis les lecteurs amovibles

Pour atténuer les infections, l’équipe de Microsoft Defender recommande de désactiver l’auto-exécution (autorun) pour le contenu sur tous les supports amovibles et de bloquer l’exécution des raccourcis depuis les lecteurs amovibles, qui ont été identifiés comme les principaux vecteurs de propagation du malware.

FAQ

De quoi Microsoft Defender a-t-il averti le 17 juin ?
Microsoft Defender a averti au sujet d’un nouveau malware basé sur les USB qui vole des phrases mnémoniques BIP39 de 12 ou 24 mots et remplace les adresses de portefeuilles de cryptomonnaies pour bitcoin, tron et monero afin de rediriger les transactions vers des portefeuilles contrôlés par l’attaquant.

Comment le malware se propage-t-il vers d’autres appareils ?
Le malware remplace des fichiers sur des périphériques de stockage amovibles par des fichiers de raccourci (.lnk) qui déclenchent une infection lorsqu’ils sont exécutés, et il se copie sur toute clé USB insérée dans un ordinateur infecté.

Quelles mesures d’atténuation Microsoft a-t-il recommandées ?
Microsoft recommande de désactiver l’auto-exécution (autorun) pour le contenu sur tous les supports amovibles et de bloquer l’exécution des raccourcis depuis les lecteurs amovibles, qui sont les principaux vecteurs de propagation du malware.