Getarnte Windows-Malware:
USB-Wurm greift Krypto-Wallets an

Ein USB-Stick reicht aus, um ein ganzes System zu kompro­mittieren: Sicherheitsforscher warnen aktuell vor einer neuen Malware-Kampagne, die gezielt auf Kryptowährungen abzielt - und sich dabei selbst weiterverbreitet.
Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Erpressung, Warnung, Darknet, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Ransom, Hacks, Crime, Russische Hacker, Viren, Gehackt, Schädling, China Hacker, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware

Infektion über USB und Windows-Tricks

Im Zentrum der Angriffe stehen manipulierte Verknüpfungsdateien unter Windows, sogenannte LNK-Dateien. Öffnen Nutzer eine solche Datei von einem infizierten USB-Laufwerk, startet im Hintergrund eine Schadsoftware, die es vor allem auf Krypto-Wallets abgesehen hat. Darüber berichtet jetzt Bleeping Computer und warnt vor einer Angriffswelle.

Die Angriffe laufen offenbar bereits seit Februar und nutzen zusätzlich das Tor-Netzwerk, um ihre Kommunikation zu verschleiern. Entdeckt wurde die Malware nun durch Microsoft.


Der Ablauf beginnt denkbar simpel. Ein Nutzer steckt einen USB-Stick ein und öffnet eine vermeintlich harmlose Datei. Tatsächlich verbirgt sich dahinter jedoch ein Shortcut, der Schadcode ausführt. Weitere Komponenten werden anschließend aus dem Tor-Netzwerk nachgeladen.

Besonders tückisch ist die Verbreitungsstrategie. Die Malware durchsucht das System nach Dokumenten, versteckt die Originaldateien und ersetzt sie durch täuschend echte Verknüpfungen mit identischem Namen. Wer später eines dieser Dokumente öffnen will, startet unbewusst erneut die Schadsoftware, man muss also gar nicht selbst in Berührung mit einem manipulierten USB-Stick kommen.

Fokus auf Krypto-Daten

Gleichzeitig installiert sich das Programm dauerhaft im System und überwacht neue USB-Geräte. Sobald ein weiterer Datenträger angeschlossen wird, kopiert sich der Schädling automatisch und legt neue infizierte Verknüpfungen an - ein klassischer Wurm-Mechanismus.

Im Hintergrund arbeitet ein sogenannter "Clipper". Diese Art Malware überwacht kontinuierlich die Zwischenablage des Systems. Ziel ist es, Wallet-Adressen unbemerkt auszutauschen. Konkret prüft die Schadsoftware mehrmals pro Sekunde, ob typische Krypto-Daten kopiert wurden, darunter Seed-Phrasen (12 oder 24 Wörter), private Schlüssel für Ethereum oder Bitcoin, sowie Wallet-Adressen verschiedener Netzwerke wie Bitcoin, Ethereum, Tron oder Monero.

Wird eine passende Zeichenfolge erkannt, ersetzt die Malware diese durch eine Adresse der Angreifer. Besonders perfide: Die manipulierten Adressen ähneln optisch den Originalen, sodass der Betrug auf den ersten Blick kaum auffällt. Infografik Sicherheit im Netz: Deutsche fürchten sich vor DatenmissbrauchSicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch

Hinweise auf eine Infektion

Auffällig ist laut Microsoft, dass sich die Malware weniger über klassische Signaturen erkennen lässt, sondern eher durch ihr Verhalten.

Typische Warnsignale sind:

  • Unerwartete Prozesse wie wscript.exe oder cscript.exe
  • Auffällige Aktivitäten von PowerShell, cmd oder curl
  • Verbindungen über den lokalen Tor-Port (localhost:9050)
  • Ungewöhnliche Prozessketten im System

Neben dem Austausch von Wallet-Daten sammelt die Malware weitere Informationen. In kurzen Abständen erstellt sie Screenshots des Bildschirms und überträgt diese über das Tor-Netzwerk an die Angreifer. Darüber hinaus ist auch eine Fernsteuerung infizierter Systeme möglich. Über einen entsprechenden Befehl kann zusätzlicher Code nachgeladen und direkt ausgeführt werden. Technisch geschieht das über JavaScript-Dateien, die im System abgelegt und gestartet werden.

Habt ihr solche USB-Risiken im Alltag noch im Blick oder nutzt ihr externe Datenträger ganz selbstverständlich? Schreibt eure Einschätzung in die Kommentare.

Zusammenfassung
  • Eine neue Malware nutzt USB-Sticks zur Verbreitung von Krypto-Schädlingen
  • Manipulierte Verknüpfungsdateien starten Schadcode und laden Komponenten nach
  • Die Malware tauscht Wallet-Adressen in der Zwischenablage heimlich aus
  • Ein Wurm-Mechanismus infiziert automatisch weitere angeschlossene USB-Sticks
  • Angreifer spähen Bildschirminhalte aus und können Systeme fernsteuern
  • Verhaltensbasierte Warnsignale helfen bei der Erkennung der Infektionen

Siehe auch:


BitCoin-Kurs
Bitcoin Münze (24-Karat Gold-Überzug)
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!