A Microsoft alerta para malware em USB que rouba frases-semente de cripto e substitui endereços de carteira

A Microsoft Defender alertou, a 17 de junho, para um novo malware baseado em USB que visa utilizadores de criptomoedas ao roubar frases-semente e ao substituir endereços de carteiras. O malware propaga-se através de unidades USB utilizando ficheiros de atalho e recorre a comunicações com o Tor para evitar deteção. A Microsoft afirmou que a ameaça rouba frases-semente BIP39 de 12 ou 24 palavras e que procura endereços de bitcoin, tron e monero a cada 500 milissegundos para redirecionar transações para carteiras controladas pelo atacante.

Malware substitui endereços cripto e rouba frases-semente via atalhos USB

A equipa do Microsoft Defender alertou, num post de 17 de junho, que o malware substitui ficheiros em dispositivos de armazenamento amovíveis por atalhos (.lnk) que despoletam infeção quando são executados. O malware adota contramedidas contra a deteção e a eliminação por parte de software antivírus e utiliza comunicação anonimizada com base no Tor para evitar deteção.

O malware propaga-se copiando-se para quaisquer unidades USB inseridas num computador infetado. Executa um processo que consegue executar várias tarefas, incluindo a alteração dos endereços copiados pelos utilizadores para a área de transferência do dispositivo infetado.

O malware mantém-se continuamente em execução nos dispositivos afetados e faz varrimento da memória à procura do que a Microsoft chama de “artefactos financeiros de alto valor”. Deteta frases-semente BIP39 de 12 ou 24 palavras nos dados da área de transferência e envia-as para os atacantes, juntamente com cinco capturas de ecrã para dar contexto sobre o conteúdo da carteira e os fundos.

O “crypto clipper” procura endereços de bitcoin, tron e monero na memória a cada 500 milissegundos. Se encontrar algum, assume que o utilizador está a copiar o endereço para executar uma transação e substitui-o por um endereço semelhante sob controlo do atacante, para reter os fundos enviados pelos utilizadores no dispositivo infetado.

“Esta família de malware mostra como ladrões leves baseados em scripts conseguem causar um impacto desproporcionado quando combinados com comunicações anonimizadas e com tarefas em tempo de execução”, afirmou a equipa do Microsoft Defender.

Microsoft recomenda desativar o Autorun e bloquear atalhos de unidades amovíveis

Para mitigar infeções, a equipa do Microsoft Defender recomenda desativar o autorun para o conteúdo em todos os suportes amovíveis e bloquear a execução de atalhos a partir de unidades amovíveis, que foram identificadas como os principais vetores de propagação do malware.

FAQ

O que é que a Microsoft Defender alertou a 17 de junho?
A Microsoft Defender alertou para um novo malware baseado em USB que rouba frases-semente BIP39 de 12 ou 24 palavras e substitui endereços de carteiras de criptomoedas de bitcoin, tron e monero para redirecionar transações para carteiras controladas pelo atacante.

Como é que o malware se propaga para outros dispositivos?
O malware substitui ficheiros em dispositivos de armazenamento amovíveis por ficheiros de atalho (.lnk) que despoletam infeção quando são executados, e copia-se para quaisquer unidades USB inseridas num computador infetado.

Que medidas de mitigação é que a Microsoft recomendou?
A Microsoft recomenda desativar o autorun para o conteúdo em todos os suportes amovíveis e bloquear a execução de atalhos a partir de unidades amovíveis, que são os principais vetores de propagação do malware.