微软警告 USB 恶意软件窃取加密货币种子短语并替换钱包地址

微软 Defender 于 6 月 17 日警告一种新的基于 USB 的恶意软件，该软件通过窃取种子短语并替换钱包地址来针对加密货币用户。该恶意软件使用带快捷方式文件的 USB 驱动器进行传播，并借助由 Tor 赋能的通信来规避检测。微软表示，该威胁会窃取 12 或 24-word 的 BIP39 种子短语，并且每 500 毫秒扫描一次比特币、tron 和门罗（monero）地址，以便将交易重定向至攻击者控制的钱包。

恶意软件通过 USB 快捷方式替换加密地址并窃取种子短语

微软 Defender 团队在 6 月 17 日发布的博客文章中警告称，该恶意软件会将可移动媒体存储设备上的文件替换为快捷方式（.lnk 文件），当执行时会触发感染。该恶意软件会采取针对杀毒软件扫描和删除的对策，并使用匿名化的 Tor 赋能通信来避免被检测。

该恶意软件会通过将自身复制到感染计算机中插入的任何 USB 驱动器来进行传播。它会运行一个进程，该进程可以执行各种任务，包括将用户复制的地址更改为感染设备剪贴板中的内容。

该恶意软件会在受影响设备上持续运行，并扫描内存中微软所称的“高价值金融载体”。它会在剪贴板数据中检测 12 或 24-word 的 BIP39 种子短语，并将其发送给攻击者，同时发送五张截图以提供有关钱包内容和资金的上下文信息。

加密剪贴板劫持程序每 500 毫秒会在内存中扫描比特币、tron 和门罗（monero）的地址。若发现任何地址，它就会假设用户正在复制该地址以发起交易，并将其替换为在攻击者控制下的相似地址，从而接管感染设备中用户发送的资金。

“这个恶意软件家族展示了，当恶意软件与匿名化通信和运行时任务调度相结合时，轻量级的基于脚本的窃取器如何能带来夸张的影响，”微软 Defender 团队表示。

微软建议禁用自动播放并阻止来自可移动驱动器的快捷方式

为缓解感染，微软 Defender 团队建议对所有可移动媒体内容禁用自动播放，并阻止从可移动驱动器执行快捷方式；这些快捷方式已被识别为该恶意软件的主要传播向量。

FAQ

微软 Defender 在 6 月 17 日警告了什么？
微软 Defender 警告了一种新的基于 USB 的恶意软件：它窃取 12 或 24-word 的 BIP39 种子短语，并替换比特币、tron 和门罗（monero）的加密货币钱包地址，以将交易重定向至攻击者控制的钱包。

恶意软件如何传播到其他设备？
该恶意软件会将可移动媒体存储设备上的文件替换为快捷方式（.lnk）文件；这些文件在执行时会触发感染，并会将自身复制到感染计算机中插入的任何 USB 驱动器。

微软建议了哪些缓解措施？
微软建议对所有可移动媒体内容禁用自动播放，并阻止从可移动驱动器执行快捷方式；这些是该恶意软件的主要传播向量。