Sikkerhetsforskere har avdekket en kampanje med kryptovalutastjelende skadevare som sprer seg gjennom infiserte USB-enheter og ondsinnede Windows-snarveisfiler. Operasjonen retter seg mot kryptovalutabrukere ved å overvåke aktivitet i utklippstavlen og erstatte lommebokadresser før ofrene fullfører transaksjoner.
Microsofts forskere har sporet kampanjen siden februar 2026. Skadevaren kombinerer ormlignende spredning, tyveri fra utklippstavlen, fjernutførelse av kommandoer og Tor-basert kommunikasjon for å unngå oppdagelse og opprettholde tilgang til infiserte systemer.
I motsetning til mange tradisjonelle kryptovalutatyver gjør denne trusselen langt mer enn å bytte ut lommebokadresser. Skadevaren tar også skjermbilder, kommuniserer gjennom Tor-nettverket og gjør det mulig for angripere å kjøre ytterligere kommandoer på kompromitterte enheter.
Ondsinnede snarveisfiler driver infeksjonene
Angrepet starter når brukere åpner ondsinnede Windows-snarveisfiler som ligger på infiserte USB-enheter. Filene ser legitime ut, men starter i hemmelighet skript som installerer skadevarekomponenter på offerets datamaskin.
Forskerne opplyser at skadevaren distribuerer to hovedkomponenter. Den ene fokuserer på spredning og infiserer flere USB-enheter. Den andre stjeler kryptovalutarelatert informasjon og overvåker aktivitet i utklippstavlen.
Ormkomponenten hjelper skadevaren med å spre seg mellom systemer som bruker flyttbare lagringsenheter. Når brukere kobler infiserte USB-enheter til andre datamaskiner, får kampanjen nye muligheter til å kompromittere flere ofre.
Skadevaren kaprer kryptovalutatransaksjoner
Etter å ha infisert en enhet overvåker skadevaren kontinuerlig utklippstavlen etter kryptolommebokadresser, seed phrases, private nøkler og annen verdifull informasjon.
Når et offer kopierer en lommebokadresse før en overføring, kan skadevaren erstatte adressen med en som kontrolleres av angriperne. Dersom brukeren ikke kontrollerer mottakeradressen, sendes kryptovalutaen direkte til trusselaktøren.
Forskerne observerte også funksjoner for innsamling av skjermbilder og ytterligere datatyveri. Disse funksjonene gir angriperne innsikt i offerets aktivitet og hjelper dem med å samle inn mer informasjon om kompromitterte systemer.
Tor-nettverket hjelper angriperne med å skjule aktivitet
Kampanjen bruker en innebygd Tor-klient for å skjule kommunikasjonen mellom infiserte systemer og angripernes kommando- og kontrollservere. Skadevaren ruter trafikken gjennom en lokal SOCKS5-proxy og kobler seg til skjulte tjenester i Tor-nettverket.
Denne metoden gjør det vanskeligere å spore infrastrukturen og hjelper angriperne med å unngå tradisjonelle nettverksbaserte oppdagelsesmetoder. Forskerne bemerket at skadevaren i stor grad baserer seg på skriptbaserte komponenter og funksjonalitet i Windows Script Host for å utføre operasjonene sine.
Ved å kombinere USB-basert spredning, Tor-kommunikasjon og kryptovalutatyveri har operatørene skapt en fleksibel plattform som kan spre seg bredt samtidig som den er vanskelig å spore.
Hvordan organisasjoner kan redusere risikoen
Sikkerhetsteam bør lære opp brukere om risikoen ved ukjente USB-enheter og mistenkelige snarveisfiler. Organisasjoner bør også overvåke systemer for uvanlig skriptaktivitet, uautoriserte planlagte oppgaver og uventede Tor-relaterte prosesser.
Forskerne anbefaler å skanne flyttbare lagringsmedier før bruk og begrense tilgangen til upålitelige USB-enheter når det er mulig. Brukere som håndterer kryptovaluta, bør alltid kontrollere lommebokadresser før de godkjenner transaksjoner.
Konklusjon
Kampanjen med USB-basert kryptoskadevare viser hvordan angripere fortsetter å tilpasse eldre infeksjonsteknikker til moderne cyberkriminalitet. Ved å kombinere ondsinnede snarveisfiler, USB-spredning, Tor-kommunikasjon og tyveri fra utklippstavlen skaper skadevaren flere muligheter for å stjele kryptovaluta og kompromittere ytterligere systemer. Organisasjoner og enkeltpersoner bør være forsiktige ved bruk av flyttbare lagringsenheter og alltid verifisere kryptovalutatransaksjoner før de sender midler.


0 responses to “USB-basert kryptoskadevare spres gjennom Windows-snarveier”