微軟在一篇博客文章中表示,自 2 月份以來,一種通過 U 盤傳播的惡意軟件一直在感染 Windows 個人電腦,並以加密貨幣錢包為目標。
該公司將該惡意軟件稱為“加密剪線器”,其 Defender 防病毒軟件將其識別為 Trojan:Win32/CryptoBandits。
整個過程始於一個感染了病毒的U盤,其中包含惡意快捷方式或鏈接文件。在Windows系統中,快捷方式文件名以“.lnk”結尾,用於指示操作系統打開存儲在計算機其他位置的特定程序、文件夾或文件。
當用戶插入該U盤並點擊快捷方式時,一種名為“蠕蟲”的惡意軟件就會被安裝到電腦上。安裝完成後,它會執行兩項操作:持續運行竊取加密貨幣錢包的代碼,同時等待用戶將新的、乾淨的U盤插入同一臺電腦。
竊取錢包的組件會監控 Windows 剪貼板(用於複製粘貼操作的隱藏臨時內存),大約每 500 毫秒監控一次。當用戶複製加密貨幣錢包的助記詞或比特幣/以太坊錢包的私鑰時,惡意軟件會捕獲這些數據,並通過 Tor 網絡(一個提供匿名通信的開源網絡)將其發送到攻擊者的服務器。它還會每隔 10 秒截取 5 張屏幕截圖,並將它們一起發送出去。
風險還不止於此。
如果用戶複製收款人地址來匯款,蠕蟲會在用戶粘貼之前悄悄地將其替換為攻擊者控制的地址,這樣匯款就會在沒有任何明顯跡象的情況下流向攻擊者。
最後,當一個乾淨的U盤插入電腦時,蠕蟲病毒就會開始傳播。它會掃描乾淨的U盤,尋找普通文件,例如Word文檔、Excel表格和PDF文件,然後用同名的新快捷方式文件替換它們,並感染U盤。之後,這個循環就會繼續下去。
微軟建議禁用可移動介質的自動運行功能,通過組策略阻止 USB 驅動器上的 .lnk 文件執行,並限制 wscript.exe 和 cscript.exe 等腳本主機。Microsoft Defender 用戶還可以運行搜索查詢來檢查相關活動,包括與端口 9050 上的本地 Tor 代理的連接。
