微软防御者团队，Windows内置的恶意软件和病毒安全工具，警告了一种新的威胁，它使用快捷方式感染设备，主要是使用USB驱动器。

该恶意软件用快捷方式（.lnk文件）替换可移动媒体存储设备上的文件，当执行时会触发感染，采取对抗可能的扫描和删除的反制措施，并利用匿名的Tor驱动通信以避免被检测。

与此同时，该恶意软件通过将自身复制到插入感染计算机的任何USB驱动器来传播。它还运行一个进程，可以执行各种任务，包括更改用户在受感染设备的剪贴板中复制的地址。

该恶意软件在受影响设备上持续运行，扫描内存中微软所称的“高价值金融文物”，检测剪贴板数据中的12或24个单词的BIP39种子短语，并将其发送给攻击者，同时发送五个截图以提供关于钱包内容和其中资金的上下文。

此外，该加密地址窃取工具每500毫秒扫描内存中流行加密项目的地址，包括比特币、Tron和Monero。

如果找到任何，它假定用户正在复制以执行交易，并将其更改为类似地址，但该地址是在攻击者控制之下，用于获取受感染设备上用户发送的资金。

“这个恶意软件家族展示了脚本基础的轻量级窃取工具如何在结合匿名通信和运行时任务时产生超大的影响，”微软防御者团队强调。

为了减少感染，该团队建议禁用所有可移动媒体上内容的自动运行，并阻止从可移动驱动器执行快捷方式，因为这些已被确认为恶意软件的主要传播媒介。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。