Mikor kezdődött ez a kártevő-kampány?

A kártevő-kampány 2025 júniusa óta aktív. Indulása óta már több mint 90 rendszert kompromittált.

Milyen típusú fájlt használnak a kártevő terjesztésére?

A kártevőt MSI-telepítő fájlokon keresztül terjesztik, amely a szabványos Windows-csomagformátum, amelyet sok legitim szoftvergyártó használ.

Mit tesz a kártevő, miután megfertőz egy rendszert?

A kártevő egy hárommodulos készletet telepít, amely rendszerfelderítést végez, billentyűnaplózót aktivál a hitelesítő adatok és a 2FA-kódok rögzítésére, valamint ellopja a böngészőben tárolt jelszavakat, munkamenet-sütiket és automatikus kitöltési adatokat.

Miért minősül biztonsági kockázatnak az SSH-hitelesítő adatok és GitLab-tokenek beégetése a telepítőbe?

A telepítő fájlokba beágyazott, beégetett hitelesítő adatok bárki számára olvashatók, aki megvizsgálja a binárist, ami feltárhatja a támadók vezérlő-és-irányító szervereit és kódtárait a védők és nyomozók előtt.

Elegendő-e a hardveres tárca használata az ilyen típusú támadások ellen?

A cikk szerint önmagában a hardveres tárcára hagyatkozni nem elegendő védelem e kampány ellen, mivel a kártevő olyan hitelesítő adatokat, munkamenet-sütiket és billentyűleütéseket céloz meg, amelyek megkerülhetik a hitelesítést anélkül, hogy közvetlen hozzáférésre lenne szükség a tárcához.

MSI-telepítő alapú kártevő célozza a kriptókereskedőket 2025 júniusa óta

Egy kifinomult kártevő-kampányt fedeztek fel, amely kriptóvaluta-kereskedőket vesz célba, és 2025 júniusa óta csendben aktív. A módszer megtévesztően egyszerű, mégis hatékony: SSH-hitelesítő adatokat és GitLab-tokeneket kódolnak bele közvetlenül az MSI-telepítő fájlokba. A művelet már több mint 90 rendszert kompromittált, és kifejezetten arra tervezték, hogy átvegye az irányítást kriptokereskedési fiókok felett – rendszerfelderítést, billentyűnaplózást és böngésző-adatlopást kombinálva egyetlen, összehangolt támadási láncba. Bárki számára, aki digitális eszközöket tart vagy aktívan kereskedik velük, e kampány mechanizmusa rávilágít arra, miért nem elegendő védelem önmagában a hardveres tárca.

Hogyan működik az MSI-telepítős kampány: felderítés, billentyűnaplózás és böngészőadat-lopás

A támadás akkor kezdődik, amikor az áldozat végrehajt valamit, ami legitim MSI-telepítőnek tűnik – ez az a szabványos Windows-csomagformátum, amelyet számtalan szoftvergyártó használ. A futtatás után a telepítő egy hárommodulos kártevőkészletet telepít, amely sorban működik.

Az első modul rendszerfelderítést végez, feltérképezve a fertőzött rendszer konfigurációját, hálózati környezetét és telepített szoftvereit. Ez a szakasz egyértelmű képet ad a támadónak arról, mivel dolgozik, mielőtt mélyebb behatolásba kezdene. A második modul egy billentyűnaplózót aktivál, amely rögzít mindent, amit az áldozat begépel – beleértve a tőzsdei bejelentkezési adatokat, a kétfaktoros hitelesítési kódokat és a tárcajelszavakat. A harmadik modul a böngészőben tárolt adatokat célozza, kinyerve a mentett jelszavakat, munkamenet-sütiket és automatikus kitöltési bejegyzéseket, amelyek segítségével megkerülhető a hitelesítés pénzügyi platformokon anélkül, hogy közvetlenül szükség lenne a fiókjelszóra.

A kombináció szándékos. A billentyűnaplózás mozgás közben rögzíti a hitelesítő adatokat; a böngészőlopás nyugalmi állapotban rögzíti azokat. Együtt nagyon kevés rést hagynak.

Miért jelent rendszerszintű kockázatot a beégetett hitelesítő adatok alkalmazása

Ami ezt a kampányt különösen figyelemre méltóvá teszi biztonsági kutatási szempontból, az nem csupán az, amit az áldozatokkal tesz, hanem az is, amit a támadókról fed fel. Az SSH-hitelesítő adatok és GitLab-tokenek beégetése a telepítőbe azt jelenti, hogy a kártevő egy közvetlen, statikus hivatkozást hordoz saját háttér-infrastruktúrájához.

Ez a támadók részéről operatív biztonsági hiba, és nem egyedülálló ennél a csoportnál. Amikor fejlesztők – akár legitim szoftvert, akár rosszindulatú eszközöket készítenek – hitelesítési tokeneket égetnek be lefordított vagy csomagolt fájlokba, ezek a hitelesítő adatok bárki számára olvashatóvá válnak, aki megvizsgálja a binárist. A védők számára a kártevőkbe beégetett hitelesítő adatok feltárhatják a vezérlő-és-irányító szervereket, kódtárakat, sőt akár egy fenyegetőszereplő belső fejlesztési munkafolyamatát is. Az áldozatok számára ugyanaz a hiba, amely segíthet a nyomozóknak a támadók felkutatásában, semmilyen védelmet nem nyújt, miután a kompromittálódás már megtörtént.

Ez a minta tükrözi a felhőt célzó kártevők szélesebb körű trendjeit. Ahogy a felhőalapú hitelesítő adatokat kiaknázó PCPJack kártevőről szóló tudósítás is rámutat, a hitelesítőadat-lopó keretrendszerek egyre inkább az nem megfelelően biztonságos tokeneket kezelik könnyen elérhető célpontként – függetlenül attól, hogy ezek a tokenek az áldozatokhoz tartoznak, vagy – mint ebben az esetben – magukhoz a támadókhoz.

Kit céloznak, és hogyan szűrik ki a kriptókereskedőket

A kampány kriptóvaluta-kereskedőkre való összpontosítása nem véletlen. A kriptószámlák egyedülállóan vonzó célpontprofilt képviselnek: gyakran jelentős likvid értéket tartanak, a tranzakciók visszavonhatatlanok a blokkláncra való sugárzás után, és sok kereskedő egyszerre több tőzsdén kezeli pozícióit böngészőalapú felületeken keresztül.

Ez utóbbi pont kritikus. A böngészőalapú kereskedés azt jelenti, hogy a böngészőben tárolt munkamenetek, sütik és mentett hitelesítő adatok közvetlen utat jelentenek a fiókhoz való hozzáféréshez. Egy támadó, aki megszerez egy érvényes munkamenet-sütit egy böngészőből, sokszor képes hitelesíteni magát egy tőzsdén anélkül, hogy jelszó- vagy kétfaktoros felszólítást váltana ki, mivel maga a munkamenet már hitelesített. A billentyűnaplózó komponens aztán lefedi azt a forgatókönyvet is, amikor a kereskedő kijelentkezik és visszajelentkezik, valós időben rögzítve a friss hitelesítő adatokat.

A már megerősített több mint 90 kompromittált rendszerrel a kampány mérete célzott, de tartós műveletre utal, nem pedig széles körű, próbálkozáson alapuló megközelítésre. A legnagyobb kockázatnak azok a kereskedők vannak kitéve, akik 2025 júniusa óta nem hivatalos vagy nem ellenőrzött forrásokból töltöttek le szoftvert.

Hogyan csökkentik a VPN-ek, a hitelesítőadat-kezelők és a böngészőhigiénia a támadási felületet

Egyetlen eszköz sem szünteti meg teljesen az e kampány által képviselt kockázatot, de számos gyakorlat érdemben csökkenti a kitettséget.

A VPN nem akadályozza meg a kártevő futtatását, ha az már a gépen van, de csökkenti a forgalom lehallgatásának kockázatát, és korlátozhatja azt a hálózati szintű láthatóságot, amelyet a támadó a felderítési fázisban szerez. Ami még fontosabb: a VPN következetes használata minden eszközön segít a hálózati higiéniát szokássá alakítani, nem pedig utólagos gondolattá.

A hitelesítőadat-kezelők az egyik alapvető támadási vektort kezelik: a böngészőben tárolt jelszavakat. Ha a hitelesítő adatokat dedikált, titkosított kezelőben tárolják a böngésző natív jelszótárhelye helyett, a böngészőadat-lopás jóval kevesebb felhasználható információt nyújt. A legtöbb hitelesítőadat-kezelő támogatja egyedi, összetett jelszavak generálását minden fiókhoz, ami korlátozza a károkat, ha egy hitelesítő adat-készlet mégis illetéktelen kezekbe kerül.

A böngészőhigiénia szintén számít. A kereskedőknek érdemes fontolóra venni egy dedikált böngészőprofil – vagy egy teljesen külön böngésző – kizárólagos használatát a tőzsdei hozzáféréshez. Ebben a profilban ne legyenek mentett jelszavak, csak a feltétlenül szükséges bővítmények, és minden munkamenet után törölni kell a sütiket. Olyan munkamenet-sütiket nem lehet ellopni, amelyek már nem léteznek.

Végül a szoftvertelepítési fegyelem az első védelmi vonal. A hivatalos gyártói webhelyeken vagy alkalmazásboltokban kívülről beszerzett MSI-fájlok valós kockázatot hordoznak. A fájlhasítók ellenőrzése, a kiadói aláírások megvizsgálása, és annak azonnali vörös zászlóként való kezelése, ha egy telepítő a biztonsági szoftver letiltását kéri, megakadályozhatja a kezdeti végrehajtást, amely mindent egyébként lehetővé tesz.

Mit jelent ez az Ön számára

Ha aktívan kereskedik kriptóvalutával, vagy böngészőalapú felületen keresztül elérhető digitális eszközöket tart, ez a kampány közvetlen figyelmeztetés. A hardveres tárcák védelmet nyújtanak a láncon belüli pénzeszközök számára, de nem védik a tőzsdei fiókokat – és épp ott okoz kárt ez a kártevő.

Kezdje azzal, hogy felméri, hol találhatók jelenleg a hitelesítő adatai. Ha tőzsdei jelszavai böngészőben vannak mentve, helyezze át őket egy dedikált hitelesítőadat-kezelőbe, és hozzon létre minden platformhoz új, egyedi jelszavakat. Tekintse át böngészőbővítményeit, és távolítson el mindent, amit nem használ aktívan. Ellenőrizze letöltési előzményeit, van-e benne 2025 júniusa óta nem ellenőrizhető forrásból beszerzett MSI-telepítő.

A hitelesítőadat-lopó műveletek egyre növekvő kifinomultsága – az itt leírt beégetett tokeneket alkalmazó kampányoktól a felhőt célzó keretrendszerekben dokumentált, több CVE-t kihasználó támadásokig – a proaktív hitelesítőadat-higiéniát az egyéni felhasználók számára elérhető egyik leghatékonyabb védelemmé teszi. Egy óra ráfordítása a beállítások felülvizsgálatára ma lényegesen kevésbé fájdalmas, mint holnap egy fiókátvétel következményeivel megküzdeni.