Microsoft gab bekannt, dass eine neue USB-Malware mit der Bezeichnung Trojan:Win32/CryptoBandits seit Februar Kryptowährungs-Wallet-Anmeldeinformationen von Windows-PCs stiehlt.
Infektionsvektor und Ausführung
Der Angriff beginnt, wenn ein kompromittiertes USB-Laufwerk eine schädliche Verknüpfungsdatei mit der Erweiterung .lnk enthält. Wenn ein Benutzer die Verknüpfung öffnet, landet der Wurm auf dem System und aktiviert sofort zwei parallele Funktionen: ein Wallet-Diebstahlmodul und einen Listener, der auf jedes weitere saubere USB-Gerät wartet.
Datenerfassung und -exfiltration
Die Wallet-Stealing-Komponente fragt etwa alle 500 Millisekunden die Windows-Zwischenablage ab und erfasst Startphrasen oder private Schlüssel für Bitcoin, Ethereum oder andere Blockchain-Assets. Die erfassten Daten werden über das Tor-Netzwerk an den Server des Angreifers weitergeleitet, während die Malware außerdem fünf Screenshots im Abstand von zehn Sekunden aufzeichnet.
Transaktionsmanipulation und Risiko
Wenn ein Opfer eine Empfängeradresse kopiert, überschreibt der Wurm sie vor dem Einfügevorgang stillschweigend mit einer vom Angreifer kontrollierten Adresse und leitet so Gelder ohne Wissen des Benutzers um. Dieses Verhalten erweitert die Bedrohungsfläche für Krypto-Investoren und unterstreicht die Notwendigkeit einer verstärkten USB-Hygiene und Offline-Wallet-Praktiken.