Cybercriminelen richten zich op cryptocurrency-wallets met een malwarecampagne die sinds februari actief is. De malware verspreidt zich via USB-sticks door gebruik te maken van Windows-snelkoppelingen (LNK-bestanden) die een clipper malware installeren. Deze malware monitort de inhoud van het klembord en vervangt walletadressen door adressen die onder controle staan van de aanvallers.

De infectie begint wanneer een slachtoffer een kwaadaardig LNK-bestand opent op een USB-apparaat, waarna extra payloads worden geladen vanaf een .ONION-adres. De malware scant lokaal naar documenten, verbergt de originele bestanden en vervangt deze door schadelijke snelkoppelingen met dezelfde naam. Zo wordt de malware opnieuw uitgevoerd zodra gebruikers proberen de documenten te openen. Daarnaast maakt de worm een geplande taak aan die nieuwe USB-opslagapparaten detecteert, zichzelf daarop kopieert en de schadelijke snelkoppelingen aanmaakt om verdere verspreiding te bewerkstelligen.

De malware controleert of Taakbeheer niet actief is en communiceert met een command-and-control-server via het Tor-netwerk met behulp van een Tor-executable (ugate.exe). Elke halve seconde wordt het klembord gecontroleerd op verschillende soorten gevoelige gegevens, zoals 12- en 24-woord BIP39 seed phrases, private keys van Ethereum en Bitcoin, en walletadressen van onder meer Bitcoin, Tron en Monero. De aanvallers kiezen walletadressen die qua begintekens lijken op die van de gebruiker om ontdekking te bemoeilijken. Naast het monitoren van het klembord maakt de malware elke tien seconden vijf screenshots die via Tor worden verstuurd.

Verder ondersteunt de malware het op afstand uitvoeren van code via een opdracht van de command-and-control-server, waarbij JavaScript-bestanden worden gedownload en uitgevoerd op het geïnfecteerde systeem. Onderzoekers adviseren om gedragsindicatoren te monitoren, zoals activiteit van wscript.exe en cscript.exe, onverwachte opstart van curl, PowerShell en cmd.exe, en verbindingen met localhost:9050 die wijzen op Tor-proxygebruik. Deze gedragskenmerken zijn belangrijker dan traditionele signatuurdetectie voor het identificeren van infecties. Meer details over deze malwarecampagne zijn te vinden in het onderzoek van Microsoft.