Wann begann diese Malware-Kampagne?

Die Malware-Kampagne ist seit Juni 2025 aktiv. Sie hat seit ihrem Beginn bereits mehr als 90 Hosts kompromittiert.

Welche Art von Datei wird verwendet, um die Malware zu verbreiten?

Die Malware wird über MSI-Installationsdateien verbreitet, das standardmäßige Windows-Paketformat, das von vielen legitimen Softwareanbietern verwendet wird.

Was tut die Malware, sobald sie ein System infiziert?

Die Malware installiert ein dreiteiliges Kit, das eine System-Aufklärung durchführt, einen Keylogger aktiviert, um Zugangsdaten und 2FA-Codes zu erfassen, und im Browser gespeicherte Passwörter, Sitzungs-Cookies und Autofill-Daten stiehlt.

Warum gilt das Hardcoding von SSH-Zugangsdaten und GitLab-Tokens im Installer als Sicherheitsrisiko?

Hardcodierte Zugangsdaten, die in Installationsdateien eingebettet sind, sind für jeden lesbar, der die Binärdatei untersucht, was die Command-and-Control-Server und Code-Repositories der Angreifer gegenüber Verteidigern und Ermittlern offenlegen kann.

Reicht die Verwendung einer Hardware-Wallet aus, um sich vor dieser Art von Angriff zu schützen?

Laut dem Artikel ist das alleinige Vertrauen auf eine Hardware-Wallet kein ausreichender Schutz gegen diese Kampagne, da die Malware auf Zugangsdaten, Sitzungs-Cookies und Tastenanschläge abzielt, die die Authentifizierung umgehen können, ohne direkten Zugriff auf die Wallet zu benötigen.

MSI-Installer-Malware zielt seit Juni 2025 auf Krypto-Trader ab

Eine ausgeklügelte Malware-Kampagne, die auf Kryptowährungshändler abzielt, ist seit Juni 2025 still aktiv und nutzt einen täuschend einfachen, aber effektiven Trick: das direkte Einbetten von SSH-Zugangsdaten und GitLab-Tokens in MSI-Installationsdateien. Die Operation hat bereits mehr als 90 Hosts kompromittiert und ist speziell darauf ausgelegt, Krypto-Trading-Konten zu übernehmen, indem sie System-Aufklärung, Keylogging und Browser-Datendiebstahl in einer einzigen koordinierten Angriffskette kombiniert. Für jeden, der digitale Vermögenswerte hält oder aktiv handelt, zeigen die Mechanismen dieser Kampagne, warum das alleinige Vertrauen auf eine Hardware-Wallet kein ausreichender Schutz ist.

Wie die MSI-Installer-Kampagne funktioniert: Aufklärung, Keylogging und Browser-Diebstahl

Der Angriff beginnt, wenn ein Ziel etwas ausführt, das wie ein legitimes MSI-Installationsprogramm aussieht – das standardmäßige Windows-Paketformat, das von unzähligen Softwareanbietern verwendet wird. Nach der Ausführung installiert das Installationsprogramm ein dreiteiliges Malware-Kit, das der Reihe nach vorgeht.

Das erste Modul führt eine System-Aufklärung durch und erfasst die Konfiguration des infizierten Hosts, die Netzwerkumgebung und die installierte Software. Diese Phase gibt dem Angreifer ein klares Bild davon, womit er es zu tun hat, bevor er sich zu einem tieferen Eindringen entschließt. Das zweite Modul aktiviert einen Keylogger, der alles aufzeichnet, was das Opfer tippt, einschließlich Anmeldedaten für Börsen, Zwei-Faktor-Authentifizierungscodes und Wallet-Passphrasen. Das dritte Modul zielt auf im Browser gespeicherte Daten ab und extrahiert gespeicherte Passwörter, Sitzungs-Cookies und Autofill-Einträge, die genutzt werden können, um die Authentifizierung auf Finanzplattformen zu umgehen, ohne das Kontopasswort direkt zu benötigen.

Die Kombination ist bewusst gewählt. Keylogging erfasst Zugangsdaten in Bewegung; Browser-Diebstahl erfasst Zugangsdaten im Ruhezustand. Zusammen lassen sie sehr wenige Lücken.

Warum hardcodierte Zugangsdaten ein systemisches Risiko darstellen

Was diese Kampagne aus Sicherheitsforschungsperspektive besonders bemerkenswert macht, ist nicht nur das, was sie den Opfern antut, sondern was sie über die Angreifer selbst offenbart. Das Einbetten von hardcodierten SSH-Zugangsdaten und GitLab-Tokens in den Installer bedeutet, dass die Malware einen direkten, statischen Link zurück zu ihrer eigenen Backend-Infrastruktur trägt.

Dies ist ein operativer Sicherheitsfehler auf Seiten der Angreifer, und er ist nicht einzigartig für diese Gruppe. Wenn Entwickler – ob sie legitime Software oder bösartige Tools erstellen – Authentifizierungstoken in kompilierte oder gepackte Dateien hardcoden, werden diese Zugangsdaten für jeden lesbar, der die Binärdatei untersucht. Für Verteidiger können hardcodierte Zugangsdaten in Malware Command-and-Control-Server, Code-Repositories und sogar den internen Entwicklungsworkflow eines Bedrohungsakteurs aufdecken. Für Opfer bietet derselbe Fehler, der Ermittlern helfen könnte, die Angreifer aufzuspüren, keinen Schutz mehr, nachdem die Kompromittierung bereits stattgefunden hat.

Dieses Muster spiegelt allgemeinere Trends bei auf die Cloud abzielender Malware wider. Wie in Berichten über PCPJack-Malware, die Cloud-Zugangsdaten ausnutzt, beschrieben, behandeln Frameworks zum Diebstahl von Zugangsdaten zunehmend unzureichend gesicherte Tokens als leichte Beute – unabhängig davon, ob diese Tokens den Opfern gehören oder, wie in diesem Fall, den Angreifern selbst.

Wer angegriffen wird und wie Krypto-Trader gezielt ausgewählt werden

Der Fokus der Kampagne auf Kryptowährungshändler ist kein Zufall. Krypto-Konten weisen ein einzigartig attraktives Zielprofil auf: Sie halten oft erhebliche liquide Werte, Transaktionen sind nach der Übertragung an die Blockchain unumkehrbar, und viele Händler nutzen browserbasierte Oberflächen, um Positionen über mehrere Börsen gleichzeitig zu verwalten.

Dieser letzte Punkt ist entscheidend. Browserbasiertes Trading bedeutet, dass im Browser gespeicherte Sitzungen, Cookies und gespeicherte Zugangsdaten einen direkten Weg zum Kontozugang darstellen. Ein Angreifer, der einen gültigen Sitzungs-Cookie aus einem Browser erfasst, kann sich oft ohne Passwort- oder Zwei-Faktor-Aufforderungen bei einer Börse authentifizieren, da die Sitzung selbst bereits authentifiziert ist. Die Keylogger-Komponente deckt dann jedes Szenario ab, in dem der Händler sich aus- und wieder einloggt, und erfasst frische Zugangsdaten in Echtzeit.

Mit bereits mehr als 90 bestätigten kompromittierten Hosts deutet das Ausmaß der Kampagne auf eine gezielte, aber beharrliche Operation hin, anstatt auf einen breit gestreuten Massenangriff. Händler, die seit Juni 2025 Software aus inoffiziellen oder nicht verifizierten Quellen heruntergeladen haben, sind am stärksten gefährdet.

Wie VPNs, Passwort-Manager und Browser-Hygiene Ihre Angriffsfläche reduzieren

Kein einzelnes Tool beseitigt das Risiko, das diese Kampagne darstellt, aber mehrere Praktiken reduzieren die Exposition erheblich.

Ein VPN verhindert nicht, dass Malware ausgeführt wird, sobald sie bereits auf einem Gerät ist, aber es reduziert das Risiko der Verkehrsabfangung und kann die Netzwerktransparenz einschränken, die ein Angreifer während der Aufklärungsphase gewinnt. Wichtiger ist, dass die konsequente Nutzung eines VPN auf allen Geräten dazu beiträgt, Netzwerkhygiene als Gewohnheit zu etablieren und nicht als nachträglichen Gedanken.

Passwort-Manager adressieren einen der zentralen Angriffsvektoren hier: im Browser gespeicherte Passwörter. Wenn Zugangsdaten in einem dedizierten, verschlüsselten Manager statt im nativen Passworttresor des Browsers gespeichert werden, liefert der Diebstahl von Browserdaten weit weniger nutzbare Informationen. Die meisten Passwort-Manager unterstützen auch die Generierung einzigartiger, komplexer Passwörter für jedes Konto, was den Schadensbereich begrenzt, wenn ein Satz von Zugangsdaten erfasst wird.

Browser-Hygiene ist ebenfalls wichtig. Händler sollten erwägen, ein dediziertes Browser-Profil oder einen separaten Browser ausschließlich für den Börsenzugang zu verwenden. Dieses Profil sollte keine gespeicherten Passwörter, keine Erweiterungen über das absolut Notwendige hinaus haben und nach jeder Sitzung von Cookies bereinigt werden. Sitzungs-Cookies können nicht aus einer Sitzung gestohlen werden, die nicht mehr existiert.

Schließlich ist die Disziplin bei der Softwareinstallation die erste Verteidigungslinie. MSI-Dateien, die außerhalb offizieller Anbieterseiten oder App-Stores bezogen werden, tragen ein reales Risiko. Die Überprüfung von Datei-Hashes, die Kontrolle von Herausgebersignaturen und die Behandlung jedes Installers, der das Deaktivieren von Sicherheitssoftware erfordert, als unmittelbares Warnsignal können die anfängliche Ausführung verhindern, die alles andere erst möglich macht.

Was das für Sie bedeutet

Wenn Sie aktiv mit Kryptowährungen handeln oder digitale Vermögenswerte halten, auf die über eine browserbasierte Oberfläche zugegriffen werden kann, ist diese Kampagne eine direkte Warnung. Hardware-Wallets schützen On-Chain-Gelder, aber sie schützen keine Börsenkonten – und genau dort ist diese Malware darauf ausgelegt, Schaden anzurichten.

Beginnen Sie damit, zu prüfen, wo Ihre Zugangsdaten derzeit gespeichert sind. Wenn Ihre Börsenpasswörter in einem Browser gespeichert sind, übertragen Sie sie in einen dedizierten Passwort-Manager und generieren Sie neue, einzigartige Passwörter für jede Plattform. Überprüfen Sie Ihre Browser-Erweiterungen und entfernen Sie alles, was Sie nicht aktiv nutzen. Überprüfen Sie Ihren Download-Verlauf auf MSI-Installer, die seit Juni 2025 aus Quellen bezogen wurden, die Sie nicht verifizieren können.

Die zunehmende Raffinesse von Operationen zum Diebstahl von Zugangsdaten – von den hier beschriebenen Hardcoded-Token-Kampagnen bis hin zur Multi-CVE-Ausnutzung, die in auf die Cloud abzielenden Frameworks dokumentiert ist – macht proaktive Zugangsdaten-Hygiene zu einer der effektivsten Schutzmaßnahmen für einzelne Nutzer. Eine Stunde damit zu verbringen, Ihre Einrichtung heute zu überprüfen, ist erheblich weniger schmerzhaft als die Wiederherstellung nach einer Kontoübernahme morgen.