Microsoft hat vor einer Malware gewarnt, die sich über USB-Sticks verbreitet und Windows-Verknüpfungsdateien nutzt, um Geräte zu infizieren. Die sogenannte „Clipper“-Malware sucht in der Zwischenablage nach Krypto-Adressen und ersetzt diese durch andere Adressen, die von den Angreifern kontrolliert werden.
Microsoft warnt vor neuer USB-basierter Malware, die auf Krypto-Nutzer abzielt
GESCHRIEBEN VON
TEILEN
Das Wichtigste auf einen Blick
- Microsoft Defender hat eine neue USB-Malware entdeckt, die Bitcoin-Transaktionen dem Diebstahl aussetzt.
- Das Skript stiehlt 12- oder 24-Wort-Seed-Phrasen und gefährdet damit die Sicherheit von Tron- und Monero-Wallets.
- Microsoft fordert die Nutzer außerdem dringend auf, Verknüpfungen zu blockieren, um die Verbreitung der Malware über Wechseldatenträger zu verhindern.
Microsoft warnt vor Windows-Malware, die Kryptowährungsadressen verändert
Das Team hinter Microsoft Defender, dem in Windows integrierten Tool zum Schutz vor Malware und Viren, hat vor einer neuen Bedrohung gewarnt, die Verknüpfungen nutzt, um Geräte zu infizieren – vor allem über USB-Sticks.
Die Malware ersetzt Dateien auf Wechseldatenträgern durch Verknüpfungen (.lnk-Dateien), die bei Ausführung die Infektion auslösen, ergreift Gegenmaßnahmen gegen ein mögliches Scannen und Löschen durch Antivirensoftware und nutzt anonymisierte, Tor-basierte Kommunikation, um einer Erkennung zu entgehen.
Gleichzeitig verbreitet sich die Malware, indem sie sich auf alle USB-Sticks kopiert, die in einen infizierten Computer eingesteckt werden. Außerdem führt sie einen Prozess aus, der verschiedene Aufgaben ausführen kann, darunter das Ändern von Adressen, die von Benutzern in die Zwischenablage des infizierten Geräts kopiert wurden.
Die Malware, die auf dem betroffenen Gerät kontinuierlich läuft, durchsucht den Arbeitsspeicher nach sogenannten „hochwertigen finanziellen Artefakten“, wie Microsoft sie nennt. Dabei erkennt sie 12- oder 24-Wort-BIP39-Seed-Phrasen in den Daten der Zwischenablage und sendet diese zusammen mit fünf Screenshots an die Angreifer, um einen Kontext zum Inhalt der Wallet und den darin enthaltenen Geldmitteln zu liefern.
Darüber hinaus durchsucht der Krypto-Clipper den Arbeitsspeicher alle 500 Millisekunden nach Adressen beliebter Krypto-Projekte, darunter Bitcoin, Tron und Monero.
Findet es solche, geht es davon aus, dass der Nutzer sie kopiert, um eine Transaktion durchzuführen, und ersetzt sie durch eine ähnliche Adresse, die jedoch unter der Kontrolle des Angreifers steht, um sich die von den Nutzern des infizierten Geräts gesendeten Gelder anzueignen.
„Diese Malware-Familie zeigt, wie leichtgewichtige, skriptbasierte Stealer in Verbindung mit anonymisierter Kommunikation und Laufzeit-Tasking enorme Auswirkungen haben können“, betonte das Microsoft Defender-Team.
Um Infektionen einzudämmen, empfiehlt das Team, die automatische Ausführung von Inhalten auf allen Wechseldatenträgern zu deaktivieren und die Ausführung von Verknüpfungen von Wechseldatenträgern zu blockieren, da diese als Hauptverbreitungswege der Malware identifiziert wurden.
Dieser Artikel wurde mithilfe von KI aus dem Englischen übersetzt. Die englische Originalversion ist die maßgebliche Quelle; automatische Übersetzungen können Ungenauigkeiten enthalten, insbesondere bei rechtlicher und regulatorischer Terminologie.
