微软发现通过USB传播的恶意程序针对加密钱包

微软在近期的一篇博客文章中披露，自今年2月起，一种通过USB存储设备传播的恶意程序一直在感染Windows个人计算机，并针对加密钱包进行数据窃取。该恶意程序被微软称为“加密剪贴板劫持器”，微软Defender防病毒软件将其识别为Trojan:Win32/CryptoBandits。

根据微软的描述，感染过程始于一个包含恶意快捷方式（.lnk文件）的USB驱动器。当用户插入该驱动器并点击快捷方式时，一种具有自我复制能力的程序（即“蠕虫”）会被安装到计算机上。安装后，该程序会持续运行窃取加密钱包数据的代码，同时等待用户将新的清洁USB驱动器插入同一台计算机。

窃取钱包数据的组件会监控Windows剪贴板，大约每500毫秒检查一次。当用户复制加密钱包的种子短语或比特币、以太坊钱包的私钥时，该恶意程序会捕获这些数据，并通过Tor网络发送到攻击者的服务器。此外，它还会每隔10秒截取一张屏幕截图，连续截取五张后一并发送。

如果用户复制了一个收款地址用于转账，该程序会静默地将地址替换为攻击者控制的地址，使得用户在粘贴时无法察觉，转账因此被导向攻击者。

该恶意程序的传播方式为：当一枚清洁USB驱动器插入被感染的计算机时，程序会扫描该驱动器中的常规文件（如Word文档、Excel表格和PDF），并用同名快捷方式替换这些文件，从而感染该驱动器。这一过程会不断重复，形成传播循环。

微软建议用户禁用可移动介质的自动播放功能，通过组策略阻止USB驱动器上的.lnk文件执行，并限制脚本主机（如wscript.exe和cscript.exe）。微软Defender用户还可以运行狩猎查询来检查相关活动，包括到本地Tor代理（端口9050）的连接。微软发布了包括文件哈希值和用作命令与控制服务器的.onion域名在内的入侵指标列表，供安全团队检查自身网络。

信息来源：CoinDesk