Microsoft gab bekannt, dass sein Sicherheitsteam einen neuen Malware-Stamm entdeckt hat, der sich über USB-Laufwerke verbreitet und speziell Krypto-Wallet-Anmeldeinformationen auf Windows-Computern sammelt. Die als Trojan/CryptoBandits bezeichnete Bedrohung zielt auf private Schlüssel und Seed-Phrasen ab, die mit Bitcoin- und Ethereum-Wallets verknüpft sind, und legt möglicherweise Vermögenswerte offen, die zu aktuellen Marktpreisen bewertet werden. Investoren, die sich auf Blockchain-Anwendungen verlassen, sollten sich darüber im Klaren sein, dass die Malware unbemerkt und ohne sichtbare Warnungen agiert.
Malware-Mechanik
Der Infektionsvektor basiert auf bösartigen Verknüpfungsdateien mit der Erweiterung „.lnk“. Wenn ein Benutzer die getarnte Datei öffnet, starten versteckte Skripte einen Wurm, der sich in das Betriebssystem einbettet. Sobald der Wurm aktiv ist, läuft er kontinuierlich und führt Wallet-stehlenden Code aus, während er sich gleichzeitig darauf vorbereitet, alle später angeschlossenen weiteren USB-Geräte zu kompromittieren. Microsofts Defender Antivirus hat die Aktivität als Krypto-Clipper gekennzeichnet und festgestellt, dass sich der Wurm autonom über Wechselmedien verbreitet.
Nach der Installation überwacht die Malware die Zwischenablage in Halbsekundenintervallen, um kopierte Startphrasen oder private Schlüssel zu erfassen, und leitet die gestohlenen Daten dann über das Tor-Netzwerk an vom Angreifer kontrollierte Server weiter. Es zeichnet außerdem alle zehn Sekunden Screenshots auf und sammelt so visuellen Kontext, der bei der weiteren Extraktion von Anmeldeinformationen hilfreich sein könnte. Diese Aktionen erfolgen parallel und stellen so sicher, dass die Nutzlast wirksam bleibt und gleichzeitig die Wahrscheinlichkeit einer Entdeckung minimiert wird.
Auswirkungen auf Krypto-Stakeholder
Für Kryptowährungsinvestoren stellt die Malware eine direkte Bedrohung für die Wallet-Sicherheit dar und ermöglicht möglicherweise nicht autorisierte Transaktionen, bei denen die Zustimmung des Benutzers umgangen wird. Durch die Abschöpfung der privaten Schlüssel von Bitcoin und Ethereum könnte die Bedrohung plötzliche Marktschwankungen auslösen, wenn große Beträge illegal bewegt werden, was die Preisstabilität und das Vertrauen der Anleger beeinträchtigt. Die verdeckte Natur des Diebstahls der Zwischenablage bedeutet, dass selbst wachsame Benutzer beim Kopieren von Adressinformationen versehentlich ihre Vermögenswerte preisgeben können.
Microsoft empfiehlt Benutzern, die Autorun-Funktionen auf Wechseldatenträgern zu deaktivieren, die Legitimität von Verknüpfungsdateien zu überprüfen und die Signaturen von Defender Antivirus auf dem neuesten Stand zu halten. Die Stärkung der Wallet-Sicherheit durch Hardwaregeräte und die Vermeidung der Speicherung privater Schlüssel auf Windows-Rechnern kann das Risiko mindern, das von dieser aufkommenden kryptofokussierten Malware ausgeht.