微软在一篇博客文章中表示,自 2 月份以来,一种通过 U 盘传播的恶意软件一直在感染 Windows 个人电脑,并以加密货币钱包为目标。
该公司将该恶意软件称为“加密剪线器”,其 Defender 防病毒软件将其识别为 Trojan:Win32/CryptoBandits。
整个过程始于一个感染了病毒的U盘,其中包含恶意快捷方式或链接文件。在Windows系统中,快捷方式文件名以“.lnk”结尾,用于指示操作系统打开存储在计算机其他位置的特定程序、文件夹或文件。
当用户插入该U盘并点击快捷方式时,一种名为“蠕虫”的恶意软件就会被安装到电脑上。安装完成后,它会执行两项操作:持续运行窃取加密货币钱包的代码,同时等待用户将新的、干净的U盘插入同一台电脑。
窃取钱包的组件会监控 Windows 剪贴板(用于复制粘贴操作的隐藏临时内存),大约每 500 毫秒监控一次。当用户复制加密货币钱包的助记词或比特币/以太坊钱包的私钥时,恶意软件会捕获这些数据,并通过 Tor 网络(一个提供匿名通信的开源网络)将其发送到攻击者的服务器。它还会每隔 10 秒截取 5 张屏幕截图,并将它们一起发送出去。
风险还不止于此。
如果用户复制收款人地址来汇款,蠕虫会在用户粘贴之前悄悄地将其替换为攻击者控制的地址,这样汇款就会在没有任何明显迹象的情况下流向攻击者。
最后,当一个干净的U盘插入电脑时,蠕虫病毒就会开始传播。它会扫描干净的U盘,寻找普通文件,例如Word文档、Excel表格和PDF文件,然后用同名的新快捷方式文件替换它们,并感染U盘。之后,这个循环就会继续下去。
微软建议禁用可移动介质的自动运行功能,通过组策略阻止 USB 驱动器上的 .lnk 文件执行,并限制 wscript.exe 和 cscript.exe 等脚本主机。Microsoft Defender 用户还可以运行搜索查询来检查相关活动,包括与端口 9050 上的本地 Tor 代理的连接。
