USB-Wurm verbreitet Krypto-Dieb über Windows-Verknüpfungen

Zusammenfassung

Eine laut Microsoft seit mindestens Februar aktive Kampagne zielt auf Kryptowährungs-Wallets und setzt auf selbstverbreitende Malware, die über LNK-Dateien auf USB-Laufwerken verbreitet wird. Öffnen Betroffene eine solche Windows-Verknüpfung, startet die Schadsoftware direkt vom Wechseldatenträger; weitere Komponenten werden anschließend von einer .ONION-Adresse nachgeladen. Im Kern handelt es sich um einen Clipper: Die Malware überwacht den Inhalt der Zwischenablage und ersetzt kopierte Wallet-Adressen durch Adressen unter Kontrolle der Angreifer. Darüber hinaus sucht sie nach Seed-Phrasen und privaten Schlüsseln und kann Bildschirmaufnahmen anfertigen, die über das Tor-Netzwerk exfiltriert werden. Für die Tarnung der Kommunikation nutzt die Schadsoftware nach Angaben von Microsoft Tor und baut die Verbindung zum Kommando-und-Kontrollserver über die Datei ugate.exe auf. Die Kampagne kombiniert damit Datendiebstahl, heimliche Kommunikation und eine Wurm-Funktion, die sich über angeschlossene USB-Speicher weiterverbreitet.

Nach Angaben von Microsoft beginnt die Infektionskette damit, dass ein Opfer eine LNK-Datei auf einem USB-Laufwerk öffnet. Dadurch wird die Malware auf dem Datenträger ausgeführt. Zusätzliche Nutzlasten werden dann von einer .ONION-Adresse bereitgestellt.

Auf dem kompromittierten System durchsucht die Schadsoftware lokal gespeicherte Dokumentdateien. Findet sie solche Dateien, blendet sie die Originale aus und ersetzt sie durch schädliche Verknüpfungen mit denselben Namen. Wer anschließend ein vermeintliches Dokument öffnet, startet in Wirklichkeit erneut die Malware.

Für die weitere Verbreitung richtet der Wurm eine geplante Aufgabe ein, die neu angeschlossene USB-Speicher überwacht. Sobald ein Wechseldatenträger verbunden wird, kopiert sich die Malware auf das Gerät und legt dort weitere schädliche Verknüpfungsdateien an.

Die Stealer-Komponente wird erst aktiv, nachdem geprüft wurde, dass der Task-Manager nicht läuft. Danach nimmt sie über ein Tor-Executable namens ugate.exe Kontakt zum Kommando-und-Kontrollserver auf. Alle halbe Sekunde kontrolliert die Malware die Zwischenablage auf relevante Inhalte. Laut dem Bericht werden die Zieladressen anhand ihrer Anfangsziffern oder Anfangszeichen ausgewählt, damit sie den Wallet-Adressen der Angreifer teilweise ähneln und der Austausch bei einem flüchtigen Blick weniger auffällt.

Neben der Überwachung der Zwischenablage sucht die Malware auch nach Seed-Phrasen und privaten Schlüsseln. Zusätzlich erstellt sie alle zehn Sekunden fünf Bildschirmfotos des Bildschirms des Opfers und sendet diese mit dem Werkzeug curl an den C2-Server.

Microsoft zufolge unterstützt die Malware außerdem Remotecodeausführung. Diese kann durch eine EVAL-Anweisung des C2 ausgelöst werden. Konkret lädt die Schadsoftware JavaScript-Inhalte in eine Datei mit dem Namen „cfile“ herunter und führt sie auf dem infizierten Rechner aus.

Die Forscher betonen, dass die zuverlässigsten Hinweise auf eine Infektion eher im Verhalten als in statischen Signaturen liegen. Empfohlen wird deshalb, Prozessaktivitäten rund um wscript.exe und cscript.exe zu überwachen sowie unerwartete Starts von curl, PowerShell und cmd.exe und ungewöhnliche Kindprozesse zu beachten.

Als weiteres Warnsignal nennt Microsoft Verbindungen zu „localhost:9050“ sowie Aktivitäten eines Tor-Proxys. Diese Merkmale stehen laut dem Unternehmen mit der beschriebenen Kampagne in Zusammenhang.

USB-Wurm verbreitet Krypto-Dieb über Windows-Verknüpfungen

Ähnliche Artikel

Neueste Artikel