Microsoft identifica ‘worm’ de malware que sequestra carteiras criptografadas e se espalha por unidades USB

O componente de roubo de carteira monitora a área de transferência do Windows, a memória temporária oculta usada para operações de copiar e colar, aproximadamente a cada 500 milissegundos. Quando um usuário copia uma frase inicial de carteira criptografada ou uma chave privada para uma carteira Bitcoin ou Ethereum, o malware captura esses dados e os envia ao servidor do invasor pela rede Tor, uma sobreposição de código aberto que fornece comunicação anônima. Ele também tira cinco capturas de tela, com dez segundos de intervalo, e as envia também.

O risco não termina aí.

Se um usuário copiar o endereço de um destinatário para enviar fundos, o worm o substituirá silenciosamente por um endereço controlado pelo invasor antes que o usuário o cole, de modo que a transferência vá para o invasor sem qualquer sinal visível.

Por último, o worm se propaga quando uma unidade USB limpa é conectada ao computador. Ele verifica a unidade USB limpa em busca de arquivos comuns, documentos do Word, planilhas do Excel e PDFs, substitui-os por novos arquivos de atalho usando os mesmos nomes e infecta a unidade. Então o ciclo continua.

A Microsoft recomenda desabilitar o AutoRun para mídia removível, bloquear a execução de arquivos .lnk em unidades USB por meio de política de grupo e restringir hosts de script como wscript.exe e cscript.exe. Os clientes do Microsoft Defender também podem executar consultas de busca para verificar atividades relacionadas, incluindo conexões com um proxy Tor local na porta 9050.