coindesk.com
Malware, die sich über USB-Sticks verbreitet, hat seit Februar Windows-Personalcomputer infiziert und zielt auf Krypto-Wallets ab, Microsoft sagte in einem Blogbeitrag.
Das Unternehmen bezeichnet die Malware als „Crypto Clipper“, und der Defender Antivirus identifiziert sie als Trojaner: Win32/CryptoBandits.
Der Prozess beginnt mit einem infizierten USB-Laufwerk, das eine bösartige Verknüpfungs- oder Linkdatei enthält. Unter Windows enden Verknüpfungsdateinamen auf ".lnk" und weisen das Betriebssystem an, ein bestimmtes Programm, einen Ordner oder eine Datei zu öffnen, die an einem anderen Ort auf Ihrem Computer gespeichert ist.
Wenn ein Benutzer dieses Laufwerk anschließt und die Verknüpfung anklickt, wird eine Art Malware, bekannt als "Wurm", auf dem PC installiert. Nach der Installation tut sie zwei Dinge: Sie führt ständig den eigentlichen Code zum Diebstahl von Krypto-Wallets aus und wartet gleichzeitig darauf, dass ein neues, sauberes USB-Gerät an denselben PC angeschlossen wird.
Die wallet-stehlende Komponente überwacht die Windows-Zwischenablage, den versteckten temporären Speicher, der für Kopier- und Einfügevorgänge verwendet wird, etwa alle 500 Millisekunden. Wenn ein Benutzer eine Crypto-Wallet-Seed-Phrase oder einen privaten Schlüssel für eine Bitcoin- oder Ethereum-Wallet kopiert, erfasst die Malware diese Daten und sendet sie über das Tor-Netzwerk, ein Open-Source-Overlay, das anonyme Kommunikation ermöglicht, an den Server des Angreifers. Sie macht außerdem fünf Screenshots im Abstand von jeweils zehn Sekunden und sendet diese ebenfalls mit.
Das Risiko endet dort nicht.
Wenn ein Benutzer eine Empfängeradresse zum Senden von Geldern kopiert, ersetzt der Wurm diese stillschweigend durch eine vom Angreifer kontrollierte Adresse, bevor der Benutzer sie einfügt, sodass die Überweisung ohne sichtbaren Hinweis an den Angreifer geht.
Zuletzt verbreitet sich der Wurm, wenn ein sauberes USB-Laufwerk an den Computer angeschlossen wird. Er durchsucht das saubere USB-Laufwerk nach gewöhnlichen Dateien, Word-Dokumenten, Excel-Tabellen und PDFs, ersetzt diese durch neue Verknüpfungsdateien mit denselben Namen und infiziert das Laufwerk. Anschließend setzt sich der Zyklus fort.
Microsoft empfiehlt, die AutoRun-Funktion für Wechseldatenträger zu deaktivieren, die Ausführung von .lnk-Dateien auf USB-Laufwerken über Gruppenrichtlinien zu blockieren und Skript-Hosts wie wscript.exe und cscript.exe einzuschränken. Kunden von Microsoft Defender können außerdem Hunting-Abfragen durchführen, um nach verwandten Aktivitäten zu suchen, einschließlich Verbindungen zu einem lokalen Tor-Proxy auf Port 9050.