Getarnte Windows-Malware:
USB-Wurm greift Krypto-Wallets an
Ein USB-Stick reicht aus, um ein ganzes System zu kompromittieren: Sicherheitsforscher warnen aktuell vor einer neuen Malware-Kampagne, die gezielt auf Kryptowährungen abzielt - und sich dabei selbst weiterverbreitet.
Die Angriffe laufen offenbar bereits seit Februar und nutzen zusätzlich das Tor-Netzwerk, um ihre Kommunikation zu verschleiern. Entdeckt wurde die Malware nun durch Microsoft.
Der Ablauf beginnt denkbar simpel. Ein Nutzer steckt einen USB-Stick ein und öffnet eine vermeintlich harmlose Datei. Tatsächlich verbirgt sich dahinter jedoch ein Shortcut, der Schadcode ausführt. Weitere Komponenten werden anschließend aus dem Tor-Netzwerk nachgeladen.
Besonders tückisch ist die Verbreitungsstrategie. Die Malware durchsucht das System nach Dokumenten, versteckt die Originaldateien und ersetzt sie durch täuschend echte Verknüpfungen mit identischem Namen. Wer später eines dieser Dokumente öffnen will, startet unbewusst erneut die Schadsoftware, man muss also gar nicht selbst in Berührung mit einem manipulierten USB-Stick kommen.
Im Hintergrund arbeitet ein sogenannter "Clipper". Diese Art Malware überwacht kontinuierlich die Zwischenablage des Systems. Ziel ist es, Wallet-Adressen unbemerkt auszutauschen. Konkret prüft die Schadsoftware mehrmals pro Sekunde, ob typische Krypto-Daten kopiert wurden, darunter Seed-Phrasen (12 oder 24 Wörter), private Schlüssel für Ethereum oder Bitcoin, sowie Wallet-Adressen verschiedener Netzwerke wie Bitcoin, Ethereum, Tron oder Monero.
Wird eine passende Zeichenfolge erkannt, ersetzt die Malware diese durch eine Adresse der Angreifer. Besonders perfide: Die manipulierten Adressen ähneln optisch den Originalen, sodass der Betrug auf den ersten Blick kaum auffällt. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Neben dem Austausch von Wallet-Daten sammelt die Malware weitere Informationen. In kurzen Abständen erstellt sie Screenshots des Bildschirms und überträgt diese über das Tor-Netzwerk an die Angreifer. Darüber hinaus ist auch eine Fernsteuerung infizierter Systeme möglich. Über einen entsprechenden Befehl kann zusätzlicher Code nachgeladen und direkt ausgeführt werden. Technisch geschieht das über JavaScript-Dateien, die im System abgelegt und gestartet werden.
Habt ihr solche USB-Risiken im Alltag noch im Blick oder nutzt ihr externe Datenträger ganz selbstverständlich? Schreibt eure Einschätzung in die Kommentare.
Siehe auch:
Infektion über USB und Windows-Tricks
Im Zentrum der Angriffe stehen manipulierte Verknüpfungsdateien unter Windows, sogenannte LNK-Dateien. Öffnen Nutzer eine solche Datei von einem infizierten USB-Laufwerk, startet im Hintergrund eine Schadsoftware, die es vor allem auf Krypto-Wallets abgesehen hat. Darüber berichtet jetzt Bleeping Computer und warnt vor einer Angriffswelle.Die Angriffe laufen offenbar bereits seit Februar und nutzen zusätzlich das Tor-Netzwerk, um ihre Kommunikation zu verschleiern. Entdeckt wurde die Malware nun durch Microsoft.
Der Ablauf beginnt denkbar simpel. Ein Nutzer steckt einen USB-Stick ein und öffnet eine vermeintlich harmlose Datei. Tatsächlich verbirgt sich dahinter jedoch ein Shortcut, der Schadcode ausführt. Weitere Komponenten werden anschließend aus dem Tor-Netzwerk nachgeladen.
Besonders tückisch ist die Verbreitungsstrategie. Die Malware durchsucht das System nach Dokumenten, versteckt die Originaldateien und ersetzt sie durch täuschend echte Verknüpfungen mit identischem Namen. Wer später eines dieser Dokumente öffnen will, startet unbewusst erneut die Schadsoftware, man muss also gar nicht selbst in Berührung mit einem manipulierten USB-Stick kommen.
Fokus auf Krypto-Daten
Gleichzeitig installiert sich das Programm dauerhaft im System und überwacht neue USB-Geräte. Sobald ein weiterer Datenträger angeschlossen wird, kopiert sich der Schädling automatisch und legt neue infizierte Verknüpfungen an - ein klassischer Wurm-Mechanismus.Im Hintergrund arbeitet ein sogenannter "Clipper". Diese Art Malware überwacht kontinuierlich die Zwischenablage des Systems. Ziel ist es, Wallet-Adressen unbemerkt auszutauschen. Konkret prüft die Schadsoftware mehrmals pro Sekunde, ob typische Krypto-Daten kopiert wurden, darunter Seed-Phrasen (12 oder 24 Wörter), private Schlüssel für Ethereum oder Bitcoin, sowie Wallet-Adressen verschiedener Netzwerke wie Bitcoin, Ethereum, Tron oder Monero.
Wird eine passende Zeichenfolge erkannt, ersetzt die Malware diese durch eine Adresse der Angreifer. Besonders perfide: Die manipulierten Adressen ähneln optisch den Originalen, sodass der Betrug auf den ersten Blick kaum auffällt. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Hinweise auf eine Infektion
Auffällig ist laut Microsoft, dass sich die Malware weniger über klassische Signaturen erkennen lässt, sondern eher durch ihr Verhalten.Typische Warnsignale sind:
- Unerwartete Prozesse wie wscript.exe oder cscript.exe
- Auffällige Aktivitäten von PowerShell, cmd oder curl
- Verbindungen über den lokalen Tor-Port (localhost:9050)
- Ungewöhnliche Prozessketten im System
Neben dem Austausch von Wallet-Daten sammelt die Malware weitere Informationen. In kurzen Abständen erstellt sie Screenshots des Bildschirms und überträgt diese über das Tor-Netzwerk an die Angreifer. Darüber hinaus ist auch eine Fernsteuerung infizierter Systeme möglich. Über einen entsprechenden Befehl kann zusätzlicher Code nachgeladen und direkt ausgeführt werden. Technisch geschieht das über JavaScript-Dateien, die im System abgelegt und gestartet werden.
Habt ihr solche USB-Risiken im Alltag noch im Blick oder nutzt ihr externe Datenträger ganz selbstverständlich? Schreibt eure Einschätzung in die Kommentare.
Zusammenfassung
- Eine neue Malware nutzt USB-Sticks zur Verbreitung von Krypto-Schädlingen
- Manipulierte Verknüpfungsdateien starten Schadcode und laden Komponenten nach
- Die Malware tauscht Wallet-Adressen in der Zwischenablage heimlich aus
- Ein Wurm-Mechanismus infiziert automatisch weitere angeschlossene USB-Sticks
- Angreifer spähen Bildschirminhalte aus und können Systeme fernsteuern
- Verhaltensbasierte Warnsignale helfen bei der Erkennung der Infektionen
Siehe auch:
Thema:
BitCoin-Kurs
Videos zum Thema Bitcoin
Bitcoin Münze (24-Karat Gold-Überzug)
Beiträge aus dem Forum
-
Abfrage meiner Bitcoinadressen per Batsch Schleife
thielemann03 -
Ratenzahlung für Handy, bis heute keine Rate vom Konto abgezogen
Rionaa -
[erledigt] [V] ASRock H81 Pro BTC R2.0, CPU, Graka & DDR3
ephemunch -
Zahlungsoptionen im Xbox Store
DON666 -
EXCEL - Webseite für historische und aktuelle Währungsumrechnung
LutzM
Weiterführende Links
Neue Nachrichten
- GDID: Microsoft bestätigt nicht deaktivierbare Windows-Gerätekennung
- FritzSmart und Repeater: Firmware-Updates für 4 Geräte stehen bereit
- Schweizer Armee verbannt Microsoft für deutsche OpenDesk-Lösung
- Long March 10B: China landet erstmals Raketenstufe auf dem Meer
- Nur heute: 13 Weekend-Deals bei Media Markt & Saturn, die sich lohnen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- PC-Gaming: Steam scheffelt mehr Geld als je zuvor - aus zwei Gründen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!