Microsoft warnt vor dem Diebstahl von Seed-Phrasen, Schlüsseln und Wallets durch Windows Crypto Clipper über Tor und USB-Laufwerke

Microsoft hat vor einem Schadprogramm gewarnt, das seit Februar unbemerkt aktiv ist und Windows-Rechner angreift. Das Schadprogramm mit dem Namen CryptoBandits kann über das Tor-Netzwerk Seed-Phrasen, Schlüssel und Wallets stehlen und ist über USB-Sticks übertragbar. 

In einem Blogbeitrag vom 17. Juni enthüllten Experten von Microsoft Threat Intelligence und Microsoft Defender eine Schadsoftware-Kampagne, die Krypto-Wallets unbemerkt leerte. Die Microsoft-Sicherheitsexperten erläuterten, wie eine Kombination aus altbekannten USB-Wurm-Taktiken und modernen Anonymisierungstools das Schadprogramm monatelang unentdeckt ließ.

Den Forschern zufolge konnte die Schadsoftware in einem einzigen Programm den Diebstahl von Zwischenablagedaten, den Austausch von Wallet-Adressen, die wurmartige Verbreitung und die Kommunikation über Tor ausführen. Das Programm behielt zudem lange nach Ausführung des Schadcodes Zugriff auf den lokalen Rechner. 

Microsoft erklärt, wie die Infektion abläuft

Microsofts detaillierter Blogbeitrag enthüllte, dass die Infektion auf altbewährte Weise über einen USB-Stick begann. Die Schadsoftware griff dann auf Verknüpfungsdateien auf Wechseldatenträgern zu. Sobald der Stick an einen Computer angeschlossen war, aktivierte sich der Wurm sofort. 

Die Wurmkomponente spürt gewöhnliche Dateien wie Word-, Tabellen- und PDF-Dateien auf dem Gerät auf, versteckt die Originaldateien und ersetzt sie durch gefälschte Verknüpfungen mit denselben Namen. Sobald dies geschehen ist, klicken ahnungslose Windows-Nutzer auf die Verknüpfungen, in der Annahme, eine normale Word- oder Excel-Datei zu öffnen. Stattdessen wird jedoch die Schadsoftware ausgeführt.

Anschließend verbreitet sich die Malware auf dem USB-Laufwerk des Rechners, richtet geplante Aufgaben ein, um nach einem Neustart weiterzulaufen, und schließt sich selbst von den Microsoft Defender-Scans aus. 

Wenn der eigentliche Clipper in der zweiten Phase aktiviert wird, stützt sich die skriptbasierte Nutzlast auf Windows ScriptHost und Active X-Objekte anstatt auf ein typisches Installationsprogramm, was die Erkennung extrem erschwert. 

Sobald alles eingerichtet ist, startet die Schadsoftware einen Tor-Client in einem versteckten Fenster, generiert eine eindeutige Opfer-ID und registriert sich bei einem Command-and-Control-Server, der hinter einer Tor-Onion-Adresse verborgen ist. Dadurch kann die Schadsoftware Informationen erfolgreich über diesen verborgenen Kanal übertragen, ohne entdeckt zu werden. 

Microsoft erklärt, warum diese Malware schwerer zu entdecken ist

Das Sicherheitsteam von Microsoft erklärte, dass sich die Schadsoftware in einer Schleife einnistet, die Benutzer etwa alle halbe Sekunde abfragt und die Zwischenablage scannt. Das Programm wurde speziell entwickelt, um 12- oder 24-Wort-BIP39-Seed-Phrasen zu erkennen. 

Die Schadsoftware sucht nach Ethereum Schlüsseln und Bitcoin -WIF-Schlüsseln, erstellt eine lokale Sicherungskopie und überträgt diese über das Tor-Netzwerk an den Server der Angreifer. Sie wiederholt diesen Vorgang so lange, bis die Übertragung erfolgreich ist. Erst nach erfolgreicher Übertragung löscht das Programm die lokale Kopie und erstellt jede Sekunde mehrere Screenshots, um den Angreifern einen visuellen Überblick über den Kontostand und die Aktivitäten der Wallet des Opfers zu ermöglichen. 

Wenn eine Wallet-Adresse in der Zwischenablage erscheint, kann die Schadsoftware diese vor dem Einfügen durch eine vom Angreifer kontrollierte Adresse ersetzen. Kopiert man beispielsweise eine Bitcoin -Adresse, um eine Zahlung zu senden, kann die im Empfängerfeld tatsächlich erscheinende Adresse einer völlig anderen Person gehören.

Microsoft Defender Antivirus kennzeichnet die Bedrohung nun als Trojan:Win32/CryptoBandits.A, und Defender for Endpoint überwacht Verhaltensweisen wie verdächtige JavaScript-Prozesse und Datenexfiltration mittels curl.