Sikkerhedsforskere har afsløret en kampagne med kryptovalutastjælende malware, der spredes gennem inficerede USB-enheder og ondsindede Windows-genvejsfiler. Operationen retter sig mod kryptovalutabrugere ved at overvåge aktivitet i udklipsholderen og erstatte wallet-adresser, før ofrene gennemfører deres transaktioner.

Microsofts forskere har sporet kampagnen siden februar 2026. Malwaren kombinerer ormlignende spredning, tyveri af udklipsholderdata, fjernudførelse af kommandoer og Tor-baseret kommunikation for at undgå opdagelse og bevare adgang til inficerede systemer.

I modsætning til mange traditionelle kryptovalutatyve gør denne trussel langt mere end blot at udskifte wallet-adresser. Malwaren tager også skærmbilleder, kommunikerer via Tor-netværket og giver angribere mulighed for at udføre yderligere kommandoer på kompromitterede enheder.

Ondsindede genvejsfiler driver infektionerne

Angrebet begynder, når brugere åbner ondsindede Windows-genvejsfiler, der er gemt på inficerede USB-enheder. Filerne ser legitime ud, men starter i hemmelighed scripts, som installerer malwarekomponenter på offerets computer.

Forskerne oplyser, at malwaren installerer to primære komponenter. Den ene fokuserer på spredning og inficerer flere USB-enheder. Den anden stjæler kryptovalutarelaterede oplysninger og overvåger aktivitet i udklipsholderen.

Ormkomponenten hjælper malwaren med at sprede sig mellem systemer, der anvender flytbare lagringsenheder. Når brugere tilslutter inficerede USB-enheder til andre computere, får kampagnen nye muligheder for at kompromittere flere ofre.

Malware kaprer kryptovalutatransaktioner

Efter at have inficeret en enhed overvåger malwaren konstant udklipsholderen for kryptowallet-adresser, seed phrases, private nøgler og andre værdifulde oplysninger.

Når et offer kopierer en wallet-adresse før en overførsel, kan malwaren erstatte adressen med en adresse, der kontrolleres af angriberne. Hvis brugeren ikke kontrollerer modtageradressen, sendes kryptovalutaen direkte til trusselsaktøren.

Forskerne observerede også funktioner til indsamling af skærmbilleder og yderligere datatyveri. Disse funktioner giver angriberne indsigt i offerets aktiviteter og hjælper dem med at indsamle flere oplysninger om kompromitterede systemer.

Tor-netværket hjælper angriberne med at skjule aktivitet

Kampagnen anvender en indbygget Tor-klient til at skjule kommunikationen mellem inficerede systemer og angribernes kommando- og kontrolservere. Malwaren sender trafikken gennem en lokal SOCKS5-proxy og forbinder til skjulte tjenester på Tor-netværket.

Denne metode gør det vanskeligere at spore infrastrukturen og hjælper angriberne med at undgå traditionelle netværksbaserede detektionsmetoder. Forskerne bemærkede, at malwaren i høj grad benytter scriptbaserede komponenter og funktionalitet i Windows Script Host til at udføre sine operationer.

Ved at kombinere USB-baseret spredning, Tor-kommunikation og kryptovalutatyveri har operatørerne skabt en fleksibel platform, som kan sprede sig bredt og samtidig være vanskelig at spore.

Hvordan organisationer kan reducere risikoen

Sikkerhedsteams bør uddanne brugere om risiciene ved ukendte USB-enheder og mistænkelige genvejsfiler. Organisationer bør også overvåge systemer for usædvanlig scriptaktivitet, uautoriserede planlagte opgaver og uventede Tor-relaterede processer.

Forskerne anbefaler at scanne flytbare lagringsmedier før brug og begrænse adgangen til ikke-betroede USB-enheder, når det er muligt. Brugere, der håndterer kryptovaluta, bør altid kontrollere wallet-adresser, før de godkender transaktioner.

Konklusion

Kampagnen med USB-baseret kryptomalware viser, hvordan angribere fortsætter med at tilpasse ældre infektionsteknikker til moderne cyberkriminalitet. Ved at kombinere ondsindede genvejsfiler, USB-spredning, Tor-kommunikation og tyveri af udklipsholderdata skaber malwaren flere muligheder for at stjæle kryptovaluta og kompromittere yderligere systemer. Organisationer og privatpersoner bør være forsigtige ved brug af flytbare lagringsenheder og altid verificere kryptovalutatransaktioner, før de sender midler.


0 svar til “USB-baseret kryptomalware spredes via Windows-genveje”