Säkerhetsforskare har upptäckt en kampanj med kryptovalutastjälande malware som sprids via infekterade USB-enheter och skadliga Windows-genvägsfiler. Operationen riktar sig mot kryptovalutaanvändare genom att övervaka aktivitet i urklipp och ersätta plånboksadresser innan offren slutför sina transaktioner.
Microsofts forskare har följt kampanjen sedan februari 2026. Malware kombinerar maskliknande spridning, urklippsstöld, fjärrstyrd kommandoexekvering och Tor-baserad kommunikation för att undvika upptäckt och behålla åtkomst till infekterade system.
Till skillnad från många traditionella kryptovalutastjälare gör detta hot betydligt mer än att byta ut plånboksadresser. Malware tar även skärmdumpar, kommunicerar via Tor-nätverket och gör det möjligt för angripare att köra ytterligare kommandon på komprometterade enheter.
Skadliga genvägsfiler driver infektionerna
Attacken börjar när användare öppnar skadliga Windows-genvägsfiler som lagras på infekterade USB-enheter. Filerna ser legitima ut men startar i hemlighet skript som installerar malware-komponenter på offrets dator.
Forskarna uppger att malware distribuerar två huvudsakliga komponenter. Den ena fokuserar på spridning och infekterar ytterligare USB-enheter. Den andra stjäl kryptovalutarelaterad information och övervakar aktivitet i urklipp.
Maskkomponenten hjälper malware att spridas mellan system som använder flyttbara lagringsenheter. När användare ansluter infekterade USB-enheter till andra datorer får kampanjen nya möjligheter att kompromettera fler offer.
Malware kapar kryptovalutatransaktioner
Efter att ha infekterat en enhet övervakar malware kontinuerligt urklipp efter kryptoplånboksadresser, seed phrases, privata nycklar och annan värdefull information.
När ett offer kopierar en plånboksadress inför en överföring kan malware ersätta adressen med en som kontrolleras av angriparna. Om användaren inte kontrollerar mottagaradressen skickas kryptovalutan direkt till hotaktören.
Forskarna observerade även funktioner för insamling av skärmdumpar och ytterligare datastöld. Dessa funktioner ger angriparna insyn i offrets aktivitet och hjälper dem att samla in mer information om komprometterade system.
Tor-nätverket hjälper angriparna att dölja sin aktivitet
Kampanjen använder en medföljande Tor-klient för att dölja kommunikationen mellan infekterade system och angriparnas kommando- och kontrollservrar. Malware dirigerar trafiken genom en lokal SOCKS5-proxy och ansluter till dolda tjänster i Tor-nätverket.
Denna metod gör det svårare att spåra infrastrukturen och hjälper angriparna att undvika traditionella nätverksbaserade upptäcktsmetoder. Forskarna noterade att malware i stor utsträckning förlitar sig på skriptbaserade komponenter och funktioner i Windows Script Host för att genomföra sina operationer.
Genom att kombinera USB-baserad spridning, Tor-kommunikation och stöld av kryptovaluta har operatörerna skapat en flexibel plattform som kan spridas brett samtidigt som den är svår att spåra.
Hur organisationer kan minska risken
Säkerhetsteam bör utbilda användare om riskerna med okända USB-enheter och misstänkta genvägsfiler. Organisationer bör också övervaka system efter ovanlig skriptaktivitet, obehöriga schemalagda uppgifter och oväntade Tor-relaterade processer.
Forskarna rekommenderar att skanna flyttbara lagringsenheter före användning och begränsa åtkomsten till opålitliga USB-enheter när det är möjligt. Användare som hanterar kryptovalutor bör alltid kontrollera plånboksadresser innan de godkänner transaktioner.
Slutsats
Kampanjen med USB-baserad kryptomalware visar hur angripare fortsätter att anpassa äldre infektionstekniker för modern cyberbrottslighet. Genom att kombinera skadliga genvägsfiler, USB-spridning, Tor-kommunikation och urklippsstöld skapar malware flera möjligheter att stjäla kryptovaluta och kompromettera ytterligare system. Organisationer och privatpersoner bör vara försiktiga vid användning av flyttbara lagringsenheter och alltid verifiera kryptovalutatransaktioner innan de genomförs.


0 svar till ”USB-baserad kryptomalware sprids genom Windows-genvägar”