微软警告针对加密用户的新型USB病毒攻击

微软已发出警报，关于一种通过使用Windows快捷方式文件传播的恶意软件，该软件会感染设备。所谓的“剪刀手”恶意软件会在剪贴板中搜索加密地址，并用攻击者控制的其他地址进行替换。

• 主要要点：
• • 微软防御者标记了一种新的USB恶意软件，可能导致比特币交易被盗。
• • 该脚本会窃取12或24个单词的种子短语，威胁到tron和门罗币钱包的安全。
• • 微软接着建议用户阻止快捷方式，以防止恶意软件通过可移动驱动器传播。

微软警告Windows恶意软件会更改加密货币地址

微软防御者团队，Windows内置的恶意软件和病毒安全工具，已警告一种利用快捷方式感染设备的新威胁，主要通过USB驱动器传播。

该恶意软件会用快捷方式（.lnk文件）替换可移动存储设备上的文件，当执行时触发感染，采取措施防止被杀毒软件扫描和删除，并使用匿名的Tor通信以避免被检测。

同时，恶意软件通过将自己复制到插入受感染电脑的任何USB驱动器上进行传播。它还运行一个可以执行各种任务的进程，包括更改用户复制到受感染设备剪贴板中的地址。

这种持续在受影响设备上运行的恶意软件，会扫描内存中的“高价值金融工件”，检测剪贴板数据中的12或24个单词的BIP39种子短语，并将其连同五张截图一同发送给攻击者，以提供钱包内容和资金的上下文信息。

此外，加密剪刀手每500毫秒扫描一次内存中的流行加密项目的地址，包括比特币、tron和门罗币。

如果找到任何地址，它会假设用户正在复制它以执行交易，并用类似的地址进行替换，但该地址由攻击者控制，以便掌控用户在受感染设备上发送的资金。

“这种恶意软件家族展示了轻量级、基于脚本的窃取工具在结合匿名通信和运行时任务时，能够带来巨大影响，” 微软防御者团队强调。

为减少感染风险，团队建议禁用所有可移动媒体内容的自动运行，并阻止从可移动驱动器执行快捷方式，这已被确认是该恶意软件的主要传播途径。