MSI-installatør-malware har målrettet kryptohandlere siden juni 2025

MSI-installatør-malware har målrettet kryptohandlere siden juni 2025

En sofistikert malware-kampanje rettet mot kryptovalutahandlere har vært stille aktiv siden juni 2025, ved hjelp av et bedragersk enkelt, men effektivt triks: hardkoding av SSH-legitimasjon og GitLab-tokens direkte inne i MSI-installasjonsfiler. Operasjonen har allerede kompromittert mer enn 90 verter og er spesielt konstruert for å overta kryptohandelskontoer ved å kombinere systemrekognosering, keylogging og tyveri av nettleserdata i én koordinert angrepskjede. For alle som eier eller aktivt handler digitale eiendeler, avslører mekanikken i denne kampanjen hvorfor det å stole på en maskinvarelommebok alene ikke er tilstrekkelig beskyttelse.

Slik fungerer MSI-installatør-kampanjen: rekognosering, keylogging og nettlesertyveri

Angrepet begynner når et mål kjører det som ser ut til å være en legitim MSI-installatør – standardformatet for Windows-pakker som brukes av utallige programvareleverandører. Når den kjøres, distribuerer installatøren et tre-modul malware-sett som opererer i sekvens.

Den første modulen utfører systemrekognosering og kartlegger den infiserte vertens konfigurasjon, nettverksmiljø og installert programvare. Denne fasen gir angriperen et klart bilde av hva de har å gjøre med, før de forplikter seg til dypere inntrengning. Den andre modulen aktiverer en keylogger som fanger opp alt offeret skriver, inkludert påloggingsopplysninger for børser, tofaktorautentiseringskoder og lommebokpassfraser. Den tredje modulen retter seg mot nettleserlagrede data og henter ut lagrede passord, øktinformasjonskapsler og autofylloppføringer som kan brukes til å omgå autentisering på finansplattformer uten å trenge kontopassordet direkte.

Kombinasjonen er bevisst. Keylogging fanger opp legitimasjon i bevegelse; nettlesertyveri fanger opp legitimasjon i ro. Til sammen etterlater de svært få hull.

Hvorfor hardkodede legitimasjoner er en systemisk risiko

Det som gjør denne kampanjen særlig bemerkelsesverdig fra et sikkerhetsforskningsperspektiv, er ikke bare hva den gjør med ofrene, men hva den avslører om angriperne selv. Å legge inn hardkodede SSH-legitimasjoner og GitLab-tokens inne i installatøren betyr at malwaren bærer en direkte, statisk kobling tilbake til sin egen bakgrunnsinfrastruktur.

Dette er en operasjonell sikkerhetsfeil på angriperenss side, og den er ikke unik for denne gruppen. Når utviklere – enten de bygger legitim programvare eller ondsinnet verktøy – hardkoder autentiseringstokens i kompilerte eller pakkede filer, blir disse legitimasjonene lesbare for alle som inspiserer binærkoden. For forsvarere kan hardkodede legitimasjoner i malware eksponere kommando-og-kontroll-servere, kodelagre og til og med den interne utviklingsarbeidsflyten til en trusselaktør. For ofrene gir den samme feilen som kan hjelpe etterforskere med å spore angripere, ingen beskyttelse etter at kompromitteringen allerede har funnet sted.

Dette mønsteret gjenspeiler bredere trender innen skymålrettet malware. Som dekket i rapporteringen om PCPJack-malware som utnytter skytillegg, behandler rammeverk for legitimasjonstyveri i økende grad utilstrekkelig sikrede tokens som letthøstbar frukt – enten disse tokenene tilhører ofre eller, i dette tilfellet, angriperne selv.

Hvem som er målrettet og hvordan kryptohandlere pekes ut

Kampanjens fokus på kryptovalutahandlere er ikke tilfeldig. Kryptokontoer utgjør et unikt attraktivt målprofil: de inneholder ofte betydelig likvid verdi, transaksjoner er uopprettelige når de er sendt til blokkjeden, og mange handlende bruker nettleserbaserte grensesnitt for å administrere posisjoner på tvers av flere børser samtidig.

Det siste punktet er kritisk. Nettleserbasert handel betyr at nettleserlagrede øktinformasjonskapsler, informasjonskapsler og lagrede legitimasjoner er en direkte vei til kontotilgang. En angriper som fanger opp en gyldig øktinformasjonskapsel fra en nettleser, kan ofte autentisere seg til en børs uten å utløse passord- eller tofaktorledetekster, fordi selve økten allerede er autentisert. Keylogger-komponenten dekker deretter ethvert scenario der handleren logger ut og inn igjen, og fanger opp fersk legitimasjon i sanntid.

Med mer enn 90 verter allerede bekreftet kompromittert antyder kampanjens omfang en målrettet, men vedvarende operasjon snarere enn en bred spray-og-be-tilnærming. Handlende som har lastet ned programvare fra uoffisielle eller uverifiserte kilder siden juni 2025, er mest utsatt.

Hvordan VPN-er, legitimasjonsbehandlere og nettleserhygiene reduserer angrepsflaten din

Intet enkelt verktøy eliminerer risikoen denne kampanjen representerer, men flere praksiser reduserer eksponeringen betydelig.

En VPN forhindrer ikke at malware kjøres når den allerede er på en maskin, men den reduserer risikoen for trafikkavlytting og kan begrense nettverksnivåsynligheten en angriper oppnår under rekognoseringsfasen. Viktigere er det at konsekvent bruk av VPN på alle enheter bidrar til å etablere nettverkshygiene som en vane snarere enn en ettertanke.

Legitimasjonsbehandlere adresserer ett av kjerneangrepsvektorene her: nettleserlagrede passord. Når legitimasjoner lagres i en dedikert, kryptert behandler i stedet for nettleserens innebygde passordhvelv, gir nettleserdatatyveri langt mindre brukbar informasjon. De fleste legitimasjonsbehandlere støtter også generering av unike, komplekse passord for hver konto, noe som begrenser skadeomfanget dersom ett sett med legitimasjoner fanges opp.

Nettleserhygiene er også viktig. Handlende bør vurdere å bruke en dedikert nettleserprofil – eller en separat nettleser – utelukkende for børstilgang. Den profilen bør ikke ha lagrede passord, ingen utvidelser utover det som er strengt nødvendig, og bør tømmes for informasjonskapsler etter hver økt. Øktinformasjonskapsler kan ikke stjeles fra en økt som ikke lenger eksisterer.

Til slutt er disiplin rundt programvareinstallasjon den første forsvarslinjen. MSI-filer hentet utenfor offisielle leverandørsider eller appbutikker utgjør en reell risiko. Å verifisere filhashverdier, sjekke utgiversignaturer og behandle enhver installatør som krever deaktivering av sikkerhetsprogramvare som et umiddelbart rødt flagg, kan forhindre den innledende kjøringen som gjør alt annet mulig.

Hva dette betyr for deg

Hvis du aktivt handler kryptovaluta eller eier digitale eiendeler tilgjengelig gjennom et nettleserbasert grensesnitt, er denne kampanjen en direkte advarsel. Maskinvarelommebøker beskytter midler på kjeden, men de beskytter ikke børskontoer – og det er der denne malwaren er designet for å forårsake skade.

Begynn med å revidere hvor legitimasjonene dine befinner seg for øyeblikket. Hvis børspassordene dine er lagret i en nettleser, flytt dem til en dedikert legitimasjonsbehandler og generer nye, unike passord for hver plattform. Gå gjennom nettleserutvidelsene dine og fjern alt du ikke aktivt bruker. Sjekk nedlastingsloggen din for MSI-installatører hentet siden juni 2025 fra kilder du ikke kan verifisere.

Den eskalerende sofistikasjonen til legitimasjonstyverioperasjoner – fra de hardkodede tokenkampanjene beskrevet her til flersifret CVE-utnyttelse dokumentert i skymålrettede rammeverk – gjør proaktiv legitimasjonshygiene til ett av de mest effektive forsvarene tilgjengelig for individuelle brukere. Å bruke en time på å revidere oppsettet ditt i dag er betydelig mindre smertefullt enn å gjenopprette etter en kontoovertakelse i morgen.