Wanneer begon deze malwarecampagne?

De malwarecampagne is actief sinds juni 2025. Sindsdien heeft deze al meer dan 90 hosts gecompromitteerd.

Welk type bestand wordt gebruikt om de malware te verspreiden?

De malware wordt verspreid via MSI-installateurbestanden, het standaard Windows-pakketformaat dat door veel legitieme softwareleveranciers wordt gebruikt.

Wat doet de malware zodra deze een systeem infecteert?

De malware installeert een kit met drie modules die systeemverkenning uitvoert, een keylogger activeert om inloggegevens en 2FA-codes vast te leggen, en in de browser opgeslagen wachtwoorden, sessiecookies en automatisch ingevulde gegevens steelt.

Is het gebruik van een hardware-wallet voldoende bescherming tegen dit type aanval?

Volgens het artikel is het vertrouwen op alleen een hardware-wallet onvoldoende bescherming tegen deze campagne, omdat de malware zich richt op inloggegevens, sessiecookies en toetsaanslagen die authenticatie kunnen omzeilen zonder directe toegang tot de wallet te vereisen.

MSI-installateur malware richt zich sinds juni 2025 op cryptohandelaren

Q: Waarom wordt het hardcoderen van SSH-inloggegevens en GitLab-tokens in het installateurbestand beschouwd als een beveiligingsrisico?

Hardgecodeerde inloggegevens die zijn ingebed in installateurbestanden zijn leesbaar voor iedereen die het binaire bestand inspecteert, wat de command-and-control-servers en coderepositories van de aanvallers kan blootleggen aan verdedigers en onderzoekers.

MSI-installateur malware richt zich sinds juni 2025 op cryptohandelaren

Een geavanceerde malwarecampagne gericht op cryptovalutahandelaren is al sinds juni 2025 stilletjes actief en maakt gebruik van een misleidend eenvoudige maar effectieve truc: het hardcoderen van SSH-inloggegevens en GitLab-tokens rechtstreeks in MSI-installateurbestanden. De operatie heeft al meer dan 90 hosts gecompromitteerd en is specifiek ontworpen om crypto-handelsaccounts over te nemen door systeemverkenning, keylogging en diefstal van browsergegevens te combineren in één gecoördineerde aanvalsketen. Voor iedereen die digitale activa bezit of actief verhandelt, laten de mechanismen van deze campagne zien waarom het vertrouwen op alleen een hardware-wallet onvoldoende bescherming biedt.

Hoe de MSI-installateurscampagne werkt: verkenning, keylogging en browserdiefstal

De aanval begint wanneer een doelwit iets uitvoert dat eruitziet als een legitiem MSI-installateurbestand, het standaard Windows-pakketformaat dat door talloze softwareleveranciers wordt gebruikt. Eenmaal uitgevoerd, installeert het installateurbestand een malwarekit met drie modules die achtereenvolgens actief worden.

De eerste module voert systeemverkenning uit en brengt de configuratie, netwerkomgeving en geïnstalleerde software van de geïnfecteerde host in kaart. Deze fase geeft de aanvaller een duidelijk beeld van wat er beschikbaar is voordat er wordt overgegaan tot diepere inbraak. De tweede module activeert een keylogger die alles vastlegt wat het slachtoffer typt, inclusief inloggegevens voor exchanges, tweefactorauthenticatiecodes en wallet-wachtwoordzinnen. De derde module richt zich op in de browser opgeslagen gegevens en extraheert opgeslagen wachtwoorden, sessiecookies en automatisch ingevulde gegevens die kunnen worden gebruikt om authenticatie op financiële platforms te omzeilen zonder ooit direct het accountwachtwoord nodig te hebben.

De combinatie is doelbewust. Keylogging legt inloggegevens vast in beweging; browserdiefstal legt inloggegevens vast in rust. Samen laten ze zeer weinig gaten open.

Waarom hardgecodeerde inloggegevens een systemisch risico vormen

Wat deze campagne vanuit het perspectief van beveiligingsonderzoek bijzonder opmerkelijk maakt, is niet alleen wat het slachtoffers aandoet, maar wat het onthult over de aanvallers zelf. Het insluiten van hardgecodeerde SSH-inloggegevens en GitLab-tokens in het installateurbestand betekent dat de malware een directe, statische koppeling naar zijn eigen backend-infrastructuur met zich meedraagt.

Dit is een operationele beveiligingsfout van de aanvaller, en het is niet uniek voor deze groep. Wanneer ontwikkelaars — of ze nu legitieme software of kwaadaardige tools bouwen — authenticatietokens hardcoderen in gecompileerde of verpakte bestanden, worden die inloggegevens leesbaar voor iedereen die het binaire bestand inspecteert. Voor verdedigers kunnen hardgecodeerde inloggegevens in malware command-and-control-servers, coderepositories en zelfs de interne ontwikkelworkflow van een dreigingsactor blootleggen. Voor slachtoffers biedt dezelfde fout die onderzoekers kan helpen aanvallers op te sporen geen bescherming nadat de inbraak al heeft plaatsgevonden.

Dit patroon weerspiegelt bredere trends in op de cloud gerichte malware. Zoals besproken in de rapportage over PCPJack-malware die cloudgegevens misbruikt, behandelen frameworks voor het stelen van inloggegevens onjuist beveiligde tokens steeds meer als laaghangende vruchten, of die tokens nu toebehoren aan slachtoffers of, in dit geval, aan de aanvallers zelf.

Wie er worden aangevallen en hoe cryptohandelaren worden uitgeselecteerd

De focus van de campagne op cryptovalutahandelaren is niet toevallig. Crypto-accounts bieden een uniek aantrekkelijk doelwiitprofiel: ze bevatten vaak aanzienlijke liquide waarde, transacties zijn onomkeerbaar zodra ze naar de blockchain zijn verzonden, en veel handelaren gebruiken browsergebaseerde interfaces om posities op meerdere exchanges tegelijkertijd te beheren.

Dat laatste punt is cruciaal. Browsergebaseerde handel betekent dat in de browser opgeslagen sessies, cookies en opgeslagen inloggegevens een directe weg naar accounttoegang vormen. Een aanvaller die een geldige sessiecookie van een browser bemachtigt, kan zich vaak authenticeren bij een exchange zonder wachtwoord- of tweefactorauthenticatieprompts te activeren, omdat de sessie zelf al is geauthenticeerd. De keyloggercomponent dekt vervolgens elk scenario waarbij de handelaar uitlogt en opnieuw inlogt, waarbij in realtime nieuwe inloggegevens worden vastgelegd.

Met meer dan 90 bevestigd gecompromitteerde hosts suggereert de schaal van de campagne een gerichte maar aanhoudende operatie in plaats van een brede, willekeurige aanpak. Handelaren die sinds juni 2025 software hebben gedownload van niet-officiële of niet-geverifieerde bronnen lopen het meeste risico.

Hoe VPN's, wachtwoordbeheerders en browserhygiëne uw aanvalsoppervlak verkleinen

Geen enkel hulpmiddel elimineert het risico dat deze campagne vertegenwoordigt, maar verschillende praktijken verminderen de blootstelling aanzienlijk.

Een VPN voorkomt niet dat malware wordt uitgevoerd zodra deze al op een machine aanwezig is, maar het vermindert wel het risico op verkeersonderschepping en kan de netwerkniveauzichtbaarheid die een aanvaller tijdens de verkenningsfase verkrijgt beperken. Nog belangrijker is dat het consequent gebruik van een VPN op alle apparaten helpt netwerkhygiëne als gewoonte te vestigen in plaats van als bijzaak.

Wachtwoordbeheerders pakken een van de kernvectoren hier aan: in de browser opgeslagen wachtwoorden. Wanneer inloggegevens worden opgeslagen in een speciale, versleutelde beheerder in plaats van in de eigen wachtwoordkluis van de browser, levert diefstal van browsergegevens veel minder bruikbare informatie op. De meeste wachtwoordbeheerders ondersteunen ook het genereren van unieke, complexe wachtwoorden voor elk account, wat de impact beperkt als één set inloggegevens wordt onderschept.

Browserhygiëne is ook van belang. Handelaren zouden moeten overwegen een speciaal browserprofiel te gebruiken, of een geheel aparte browser, uitsluitend voor toegang tot exchanges. Dat profiel mag geen opgeslagen wachtwoorden hebben, geen extensies buiten wat strikt noodzakelijk is, en moet na elke sessie worden gewist van cookies. Sessiecookies kunnen niet worden gestolen uit een sessie die niet meer bestaat.

Ten slotte is discipline bij softwareinstallatie de eerste verdedigingslinie. MSI-bestanden die buiten officiële leverancierssites of app stores zijn verkregen, brengen een reëel risico met zich mee. Het verifiëren van bestandshasjes, het controleren van uitgevershandtekeningen en het behandelen van elk installateurbestand dat vereist dat beveiligingssoftware wordt uitgeschakeld als een onmiddellijk waarschuwingssignaal, kan de initiële uitvoering voorkomen die al het andere mogelijk maakt.

Wat dit voor u betekent

Als u actief cryptovaluta verhandelt of digitale activa bezit die toegankelijk zijn via een browsergebaseerde interface, is deze campagne een directe waarschuwing. Hardware-wallets beschermen on-chain fondsen, maar ze beschermen geen exchange-accounts, en daar is deze malware op ontworpen om schade aan te richten.

Begin met het controleren waar uw inloggegevens momenteel zijn opgeslagen. Als uw exchange-wachtwoorden zijn opgeslagen in een browser, verplaats ze dan naar een speciale wachtwoordbeheerder en genereer nieuwe, unieke wachtwoorden voor elk platform. Bekijk uw browserextensies en verwijder alles wat u niet actief gebruikt. Controleer uw downloadgeschiedenis op MSI-installateurbestanden die sinds juni 2025 zijn verkregen van bronnen die u niet kunt verifiëren.

De toenemende verfijning van operaties voor het stelen van inloggegevens — van de hier beschreven hardgecodeerde-tokencampagnes tot de gedocumenteerde exploitatie van meerdere CVE's in op de cloud gerichte frameworks — maakt proactieve inloggegevenshygiëne een van de meest effectieve verdedigingsmiddelen die beschikbaar zijn voor individuele gebruikers. Een uur besteden aan het controleren van uw configuratie vandaag is aanzienlijk minder pijnlijk dan morgen herstellen van een accountovername.

MSI-installateur malware richt zich sinds juni 2025 op cryptohandelaren

Hoe de MSI-installateurscampagne werkt: verkenning, keylogging en browserdiefstal

Waarom hardgecodeerde inloggegevens een systemisch risico vormen

Wie er worden aangevallen en hoe cryptohandelaren worden uitgeselecteerd

Hoe VPN's, wachtwoordbeheerders en browserhygiëne uw aanvalsoppervlak verkleinen

Wat dit voor u betekent

// FAQ

// Gerelateerd