微软披露,一种名为 Trojan:Win32/CryptoBandits 的新型 USB 恶意软件自 2 月份以来一直在从 Windows PC 窃取加密货币钱包凭证。
感染向量和执行
当受损的 USB 驱动器包含扩展名为 .lnk 的恶意快捷方式文件时,攻击就会开始。当用户打开快捷方式时,蠕虫病毒就会进入系统并立即激活两个并行功能:钱包窃取模块和等待任何其他干净 USB 设备的侦听器。
数据收集和渗透
钱包窃取组件大约每 500 毫秒轮询一次 Windows 剪贴板,捕获比特币、以太坊或其他区块链资产的种子短语或私钥。捕获的数据通过 Tor 网络路由到攻击者的服务器,同时恶意软件还以 10 秒的间隔记录五个屏幕截图。
交易操纵和风险
如果受害者复制收件人地址,蠕虫病毒会在粘贴操作之前悄悄地用攻击者控制的地址覆盖该地址,从而在用户不知情的情况下转移资金。这种行为扩大了加密货币投资者的威胁面,并强调了加强 USB 卫生和离线钱包实践的必要性。