Thought Leadership
Ein neuer USB-Wurm verbreitet Schadsoftware, die Krypto-Wallets ausspioniert und kopierte Adressen im Zwischenspeicher unbemerkt durch eigene ersetzt.
Eine seit mindestens Februar 2026 aktive Schadsoftware-Kampagne nutzt infizierte USB-Laufwerke, um Schadcode auf Windows-Systemen zu verbreiten. Nach Berichten von Microsoft beginnt die Infektion, sobald ein Anwender eine manipulierte Windows-Verknüpfungsdatei mit der Endung .lnk auf einem angeschlossenen USB-Stick öffnet. Das Schadprogramm lädt daraufhin weitere Komponenten über das anonyme Tor-Netzwerk von einer Onion-Adresse nach.
Auf dem infizierten Computer sucht die Software nach lokalen Dokumenten, blendet die Originaldateien aus und ersetzt sie durch bösartige Verknüpfungen mit identischen Namen. Klickt ein Nutzer später auf diese vermeintlichen Dokumente, wird der Schadcode erneut ausgeführt. Zudem überwacht ein automatischer Hintergrunddienst das System auf neu angeschlossene Wechselmedien. Erkennt das System ein neues USB-Gerät, kopiert sich der Wurm selbstständig darauf, um weitere Computer zu infizieren.
Funktionsweise des Krypto-Diebstahls per USB
Das primäre Ziel der Schadsoftware ist der Diebstahl von Kryptowährungen und sensiblen Zugangsdaten. Sobald das Programm überprüft hat, dass der Windows-Task-Manager inaktiv ist, startet es die Kommunikation mit dem Kontrollserver über einen integrierten Tor-Client namens ugate.exe. Das Modul überprüft im Rhythmus von einer halben Sekunde den Inhalt der Windows-Zwischenablage auf spezifische Datenmuster. Davon betroffen sind folgende Informationen:
- BIP39-Wiederherstellungsphrasen mit 12 oder 24 Wörtern
- Private Schlüssel für Ethereum und Bitcoin
- Wallet-Adressen für Bitcoin, Tron und Monero
Erkennt das System eine kopierte Wallet-Adresse, wird diese unbemerkt durch eine Adresse der Angreifer ausgetauscht. Die gefälschten Adressen sind so gewählt, dass die ersten Zeichen mit der Originaladresse übereinstimmen, um eine Entdeckung bei einer flüchtigen Kontrolle zu erschweren. Zusätzlich fertigt das Programm alle zehn Sekunden fünf Bildschirmfotos an und sendet diese an den Kontrollserver. Die Software verfügt zudem über eine Funktion zur Fernausführung von Code, bei der externe JavaScript-Dateien heruntergeladen und lokal ausgeführt werden können.
Erkennungsmerkmale und Schutzmaßnahmen
Sicherheitsanalysten weisen darauf hin, dass die Infektion am effektivsten durch verhaltensbasierte Analysen statt durch klassische Virensignaturen erkannt werden kann. Zu den eindeutigen Warnsignalen im System gehören ungewöhnliche Aktivitäten der Windows-Skript-Interpreter wscript.exe und cscript.exe sowie unvorhergesehene Starts der Systemwerkzeuge curl, PowerShell oder cmd.exe. Ein weiteres klares Indiz für eine Kompromittierung sind lokale Netzwerkverbindungen über den Port 9050 sowie unerwarteter Proxy-Datenverkehr im Zusammenhang mit dem Tor-Netzwerk.
(red)
