Microsoft warnt vor USB-Malware: Sie stiehlt Krypto-Seed-Phrasen und ersetzt Wallet-Adressen

Microsoft Defender warnte am 17. Juni vor einer neuen USB-basierten Malware, die Kryptowährungsnutzer ins Visier nimmt, indem sie Seed Phrases stiehlt und Wallet-Adressen ersetzt. Die Malware verbreitet sich über USB-Laufwerke mittels Shortcut-Dateien und nutzt über Tor unterstützte Kommunikation, um einer Erkennung zu entgehen. Microsoft erklärte, dass die Bedrohung 12- oder 24-Wort-BIP39-Seed-Phrasen stiehlt und bitcoin-, tron- und monero-Adressen alle 500 Millisekunden scannt, um Transaktionen auf von Angreifern kontrollierte Wallets umzuleiten.

Malware ersetzt Krypto-Adressen und stiehlt Seed-Phrasen über USB-Shortcuts

Das Microsoft-Defender-Team warnte in einem Blogbeitrag vom 17. Juni, dass die Malware Dateien auf Wechseldatenträgern durch Verknüpfungen (.lnk-Dateien) ersetzt, die eine Infektion auslösen, wenn sie ausgeführt werden. Die Malware ergreift Gegenmaßnahmen gegen Scans und das Löschen durch Antivirensoftware und nutzt anonymisierte Tor-gestützte Kommunikation, um einer Erkennung zu entgehen.

Die Malware verbreitet sich, indem sie sich auf jedes USB-Laufwerk kopiert, das in einen infizierten Computer gesteckt wird. Sie führt einen Prozess aus, der verschiedene Aufgaben übernehmen kann, darunter das Ändern von Adressen, die von Nutzern in die Zwischenablage des infizierten Geräts kopiert wurden.

Die Malware läuft kontinuierlich auf betroffenen Geräten und scannt den Speicher nach dem, was Microsoft als „high-value financial artifacts“ bezeichnet. Sie erkennt 12- oder 24-Wort-BIP39-Seed-Phrasen in den Zwischenablagedaten und sendet sie an Angreifer, zusammen mit fünf Screenshots, um Kontext über Wallet-Inhalte und Gelder zu liefern.

Der Krypto-Clipper scannt alle 500 Millisekunden nach Adressen von bitcoin, tron und monero im Speicher. Wenn er welche findet, geht er davon aus, dass der Nutzer die Adresse kopiert, um eine Transaktion auszuführen, und ändert sie zu einer ähnlichen Adresse unter Kontrolle des Angreifers, um Gelder zu übernehmen, die von Nutzern auf dem infizierten Gerät gesendet wurden.

„Diese Malware-Familie zeigt, wie leichtgewichtige, skriptbasierte Stealer eine überproportionale Wirkung erzielen können, wenn sie mit anonymisierter Kommunikation und Laufzeit-Aufgabenverteilung kombiniert werden“, erklärte das Microsoft-Defender-Team.

Microsoft empfiehlt, Autorun zu deaktivieren und Shortcuts von Wechseldatenträgern zu blockieren

Zur Eindämmung von Infektionen empfiehlt das Microsoft-Defender-Team, Autorun für Inhalte auf allen Wechseldatenträgern zu deaktivieren und die Ausführung von Shortcuts von Wechseldatenträgern zu blockieren, die als die wichtigsten Verbreitungswege der Malware identifiziert wurden.

FAQ

Wovor hat Microsoft Defender am 17. Juni gewarnt?
Microsoft Defender warnte vor einer neuen USB-basierten Malware, die 12- oder 24-Wort-BIP39-Seed-Phrasen stiehlt und Kryptowährungs-Wallet-Adressen für bitcoin, tron und monero ersetzt, um Transaktionen auf von Angreifern kontrollierte Wallets umzuleiten.

Wie verbreitet sich die Malware auf andere Geräte?
Die Malware ersetzt Dateien auf Wechseldatenträgern durch Shortcut- (.lnk-) Dateien, die eine Infektion auslösen, wenn sie ausgeführt werden, und sie kopiert sich auf jedes USB-Laufwerk, das in einen infizierten Computer gesteckt wird.

Welche Schutzmaßnahmen hat Microsoft empfohlen?
Microsoft empfiehlt, Autorun für Inhalte auf allen Wechseldatenträgern zu deaktivieren und die Ausführung von Shortcuts von Wechseldatenträgern zu blockieren, die die wichtigsten Verbreitungsvektoren der Malware sind.