Microsoft alerta sobre novo malware baseado em USB direcionado a usuários de criptomoedas

A Microsoft alertou sobre um malware que se espalha por unidades USB que usam arquivos de atalho do Windows para infectar dispositivos. O chamado malware “clipper” procura por endereços de criptomoedas na área de transferência e os substitui por outros controlados pelos atacantes.

• Principais pontos:
• • O Microsoft Defender identificou um novo malware USB que expõe transações de bitcoin ao roubo.
• • O script rouba frases-semente de 12 ou 24 palavras, ameaçando a segurança de carteiras de tron e monero.
• • A Microsoft recomenda que os usuários bloqueiem os atalhos para impedir que o malware se espalhe por unidades removíveis.

Microsoft alerta sobre malware do Windows que altera endereços de criptomoedas

A equipe por trás do Microsoft Defender, a ferramenta de segurança contra malware e vírus embutida no Windows, alertou sobre uma nova ameaça que usa atalhos para infectar dispositivos, principalmente usando unidades USB.

O malware substitui arquivos em dispositivos de armazenamento de mídia removível por atalhos (.lnk) que acionam a infecção ao serem executados, toma medidas contra possíveis varreduras e exclusões por softwares antivírus, e usa comunicação anônima via Tor para evitar detecção.

Ao mesmo tempo, o malware se propaga copiando-se para quaisquer unidades USB inseridas em um computador infectado. Ele também executa um processo que pode realizar várias tarefas, incluindo alterar os endereços copiados pelos usuários para a área de transferência do dispositivo infectado.

O malware, que roda continuamente no dispositivo afetado, escaneia a memória em busca do que a Microsoft chama de “artefatos financeiros de alto valor”, detectando frases-semente BIP39 de 12 ou 24 palavras na área de transferência e enviando-as aos atacantes, junto com cinco capturas de tela para fornecer contexto sobre o conteúdo da carteira e os fundos nela contidos.

Além disso, o clipper de criptomoedas escaneia por endereços de projetos populares de criptomoedas, incluindo bitcoin, tron e monero, na memória a cada 500 milissegundos.

Se encontrar algum, assume que o usuário está copiando para realizar uma transação e o substitui por um endereço semelhante, mas que está sob controle do atacante para tomar posse dos fundos enviados pelos usuários no dispositivo infectado.

“Essa família de malware mostra como ladrões leves, baseados em scripts, podem causar um impacto desproporcional quando combinados com comunicações anônimas e tarefas em tempo de execução,” destacou a equipe do Microsoft Defender.

Para mitigar infecções, a equipe recomenda desativar a execução automática de conteúdo em todas as mídias removíveis e bloquear a execução de atalhos de unidades removíveis, que foram identificados como os principais vetores de propagação do malware.