Microsoft cho biết trong một bài đăng trên blog rằng phần mềm độc hại lây lan qua USB đã lây nhiễm vào máy tính cá nhân chạy hệ điều hành Windows và nhắm mục tiêu vào ví tiền điện tử kể từ tháng Hai.
Công ty này gọi phần mềm độc hại đó là "crypto clipper", và phần mềm Defender Antivirus của họ xác định nó là Trojan:Win32/CryptoBandits.
Quá trình này bắt đầu với một ổ USB bị nhiễm virus chứa tệp tin lối tắt hoặc LINK (Chainlink) độc hại. Trong Windows, tên tệp tin lối tắt kết thúc bằng ".lnk" và hướng dẫn hệ điều hành mở một chương trình, thư mục hoặc tệp tin cụ thể được lưu trữ ở nơi khác trên máy tính của bạn.
Khi người dùng cắm ổ đĩa đó vào và nhấp vào biểu tượng lối tắt, một loại phần mềm độc hại được gọi là "worm" sẽ được cài đặt vào máy tính. Sau khi được cài đặt, nó thực hiện hai việc: liên tục chạy mã đánh cắp ví tiền điện tử và đồng thời chờ đợi một USB mới, sạch được cắm vào cùng máy tính đó.
Phần mềm đánh cắp ví này theo dõi clipboard của Windows, bộ nhớ tạm ẩn được sử dụng cho các thao tác sao chép và dán, khoảng 500 mili giây một lần. Khi người dùng sao chép Seed Phrase hạt giống ví tiền điện tử hoặc khóa riêng tư cho ví Bitcoin hoặc Ethereum, phần mềm độc hại sẽ thu thập dữ liệu đó và gửi đến máy chủ của kẻ tấn công thông qua mạng Tor, một lớp phủ mã nguồn mở cung cấp khả năng liên lạc ẩn danh. Nó cũng chụp năm ảnh màn hình, cách nhau mười giây, và cũng gửi những ảnh đó đi.
Rủi ro không chỉ dừng lại ở đó.
Nếu người dùng sao chép địa chỉ người nhận để gửi tiền, phần mềm độc hại sẽ âm thầm thay thế địa chỉ đó bằng địa chỉ do kẻ tấn công kiểm soát trước khi người dùng dán, do đó giao dịch sẽ được chuyển đến kẻ tấn công mà không có bất kỳ dấu hiệu nào có thể nhìn thấy được.
Cuối cùng, sâu máy tính sẽ lây lan khi một ổ USB sạch được cắm vào máy tính. Nó quét ổ USB sạch để tìm các tệp thông thường, tài liệu Word, bảng tính Excel và PDF, thay thế chúng bằng các tệp lối tắt mới có cùng tên và lây nhiễm vào ổ đĩa. Sau đó, chu kỳ này tiếp tục.
Microsoft khuyến nghị tắt tính năng AutoRun cho các thiết bị lưu trữ di động, chặn việc thực thi tệp .lnk trên ổ USB thông qua chính sách nhóm và hạn chế các máy chủ Script như wscript.exe và cscript.exe. Khách hàng của Microsoft Defender cũng có thể chạy các truy vấn tìm kiếm để kiểm tra các hoạt động liên quan, bao gồm cả kết nối đến máy chủ proxy Tor cục bộ trên cổng 9050.
