MSI-installationsmalware har målrettet kryptobørshandlere siden juni 2025

MSI-installationsmalware har målrettet kryptobørshandlere siden juni 2025

En sofistikeret malwarekampagne rettet mod kryptovalutahandlere har været stille aktiv siden juni 2025 og benytter sig af et tilsyneladende enkelt, men effektivt trick: hardkodede SSH-legitimationsoplysninger og GitLab-tokens gemt direkte i MSI-installationsfiler. Operationen har allerede kompromitteret mere end 90 systemer og er specifikt konstrueret til at overtage kryptohandelskonti ved at kombinere systemrekognoscering, keylogging og tyveri af browserdata i én samordnet angrebskæde. For alle, der opbevarer eller aktivt handler med digitale aktiver, afslører denne kampagnes mekanismer, hvorfor det ikke er tilstrækkeligt udelukkende at stole på en hardware-wallet som beskyttelse.

Sådan fungerer MSI-installationskampagnen: Rekognoscering, keylogging og browsertyveri

Angrebet begynder, når et mål kører det, der tilsyneladende er en legitim MSI-installationsfil – det standardiserede Windows-pakkeformat, som utallige softwareleverandører anvender. Når filen køres, udruller installationsprogrammet et malwarekit bestående af tre moduler, der opererer i rækkefølge.

Det første modul udfører systemrekognoscering og kortlægger det inficerede systems konfiguration, netværksmiljø og installeret software. Denne fase giver angriberen et klart billede af, hvad de arbejder med, inden de går dybere ind i systemet. Det andet modul aktiverer en keylogger, der registrerer alt, hvad offeret taster – herunder loginoplysninger til børser, tofaktorgodkendelseskoder og adgangssætninger til wallets. Det tredje modul angriber browserlagrede data og udtrækker gemte adgangskoder, sessionscookies og autofyld-oplysninger, som kan bruges til at omgå godkendelse på finansielle platforme uden nogensinde at have brug for kontoadgangskoden direkte.

Kombinationen er bevidst. Keylogging fanger legitimationsoplysninger i bevægelse; browsertyveri fanger legitimationsoplysninger i hvile. Tilsammen efterlader de meget få huller.

Hvorfor hardkodede legitimationsoplysninger udgør en systemisk risiko

Det, der gør denne kampagne særligt bemærkelsesværdig fra et sikkerhedsforskningsperspektiv, er ikke blot, hvad den gør ved ofrene, men hvad den afslører om angriberne selv. Indlejring af hardkodede SSH-legitimationsoplysninger og GitLab-tokens i installationsfilen betyder, at malwaren bærer et direkte, statisk link tilbage til sin egen backendinfrastruktur.

Dette er en operationel sikkerhedsfejl fra angriberens side, og det er ikke unikt for denne gruppe. Når udviklere – hvad enten de bygger legitim software eller skadeligt værktøj – hardkoder godkendelsestokens i kompilerede eller pakkede filer, bliver disse legitimationsoplysninger læsbare for enhver, der inspicerer den binære fil. For forsvarere kan hardkodede legitimationsoplysninger i malware afsløre kommando-og-kontrol-servere, kodelagre og endda en trusselsaktørs interne udviklingsworkflow. For ofre giver den samme fejl, der kan hjælpe efterforskere med at spore angriberne, ingen beskyttelse, efter at kompromitteringen allerede er sket.

Dette mønster afspejler bredere tendenser inden for cloud-målrettet malware. Som beskrevet i rapporteringen om PCPJack-malware, der udnytter cloud-legitimationsoplysninger, behandler frameworks til tyveri af legitimationsoplysninger i stigende grad usikkert lagrede tokens som lavthængende frugt – uanset om disse tokens tilhører ofre eller, som i dette tilfælde, angriberne selv.

Hvem bliver målrettet, og hvordan kryptobørshandlere udvælges

Kampagnens fokus på kryptovalutahandlere er ikke tilfældig. Kryptokonti udgør et særligt attraktivt målprofil: de indeholder ofte betydelig likvid værdi, transaktioner er irreversible, når de er sendt til blockchain, og mange handlende bruger browserbaserede grænseflader til at administrere positioner på tværs af flere børser samtidigt.

Det sidste punkt er afgørende. Browserbaseret handel betyder, at browserlagrede sessioner, cookies og gemte legitimationsoplysninger udgør en direkte adgangsvej til kontoen. En angriber, der opfanger en gyldig sessionscookie fra en browser, kan ofte godkende sig over for en børs uden at udløse adgangskode- eller tofaktorprompts, fordi sessionen i sig selv allerede er godkendt. Keylogger-komponenten dækker derefter ethvert scenarie, hvor handleren logger ud og ind igen, og fanger nye legitimationsoplysninger i realtid.

Med over 90 systemer allerede bekræftet kompromitterede tyder kampagnens omfang på en målrettet, men vedvarende operation frem for en bred spray-and-pray-tilgang. Handlende, der har downloadet software fra uofficielle eller ubekræftede kilder siden juni 2025, er mest udsatte.

Sådan reducerer VPN'er, adgangskodeadministratorer og browserhygiejne din angrebsflade

Intet enkelt værktøj eliminerer den risiko, denne kampagne repræsenterer, men flere praksisser reducerer eksponeringen meningsfuldt.

En VPN forhindrer ikke malware i at køre, når den først er på en maskine, men den reducerer risikoen for trafikafpresning og kan begrænse den netværksniveausynlighed, en angriber opnår under rekognosceringsffasen. Endnu vigtigere er det, at konsekvent brug af en VPN på alle enheder hjælper med at etablere netværkshygiejne som en vane frem for en eftertanke.

Adgangskodeadministratorer adresserer én af de centrale angrebsvektorer her: browserlagrede adgangskoder. Når legitimationsoplysninger gemmes i en dedikeret, krypteret administrator frem for browserens native adgangskodehvælving, giver browserdatatyveri langt færre anvendelige oplysninger. De fleste adgangskodeadministratorer understøtter også generering af unikke, komplekse adgangskoder til hver enkelt konto, hvilket begrænser skadesomfanget, hvis ét sæt legitimationsoplysninger opfanges.

Browserhygiejne er også vigtig. Handlende bør overveje at bruge en dedikeret browserprofil – eller en separat browser – udelukkende til adgang til børser. Den profil bør ikke have gemte adgangskoder, ingen udvidelser ud over det strengt nødvendige, og cookies bør ryddes efter hver session. Sessionscookies kan ikke stjæles fra en session, der ikke længere eksisterer.

Endelig er disciplin i forbindelse med softwareinstallation den første forsvarslinje. MSI-filer hentet uden for officielle leverandørsider eller app-butikker indebærer en reel risiko. Verificering af filhashes, kontrol af udgiverens signaturer og behandling af ethvert installationsprogram, der kræver deaktivering af sikkerhedssoftware, som et umiddelbart advarselssignal kan forhindre den indledende udførelse, der gør alt andet muligt.

Hvad dette betyder for dig

Hvis du aktivt handler med kryptovaluta eller opbevarer digitale aktiver, der er tilgængelige via en browserbaseret grænseflade, er denne kampagne en direkte advarsel. Hardware-wallets beskytter on-chain midler, men de beskytter ikke børskonti – og det er præcis der, denne malware er designet til at forvolde skade.

Begynd med at undersøge, hvor dine legitimationsoplysninger befinder sig i øjeblikket. Hvis dine børsadgangskoder er gemt i en browser, skal du flytte dem til en dedikeret adgangskodeadministrator og generere nye, unikke adgangskoder til hver platform. Gennemgå dine browserudvidelser, og fjern alt, du ikke aktivt bruger. Kontroller din downloadhistorik for eventuelle MSI-installationsfiler hentet siden juni 2025 fra kilder, du ikke kan verificere.

Den eskalerende sofistikering af operationer til tyveri af legitimationsoplysninger – fra de hardkodet-token-kampagner, der er beskrevet her, til den multi-CVE-udnyttelse, der er dokumenteret i cloud-målrettede frameworks – gør proaktiv legitimationshygiejne til et af de mest effektive forsvar, der er tilgængeligt for individuelle brugere. At bruge en time på at gennemgå din opsætning i dag er betydeligt mindre smertefuldt end at komme sig efter en kontoovertagelse i morgen.