Default
Door Remote - 19 Jun 2026
De portefeuille-stelende component controleert het klembord van Windows, het verborgen tijdelijke geheugen dat wordt gebruikt voor kopieer- en plakbewerkingen, ongeveer elke 500 milliseconden. Wanneer een gebruiker een zaadzin van een crypto-portemonnee of een privésleutel voor een Bitcoin- of Ethereum-portemonnee kopieert, vangt de malware die gegevens op en stuurt deze naar de server van de aanvaller via het Tor-netwerk, een open-source overlay die anonieme communicatie mogelijk maakt. Er zijn ook vijf schermafbeeldingen nodig met een tussenpoos van tien seconden, en deze worden ook meegestuurd.
Het risico houdt daar niet op.
Als een gebruiker het adres van een ontvanger kopieert om geld te verzenden, vervangt de worm dit stilletjes door een door de aanvaller beheerd adres voordat de gebruiker het plakt, zodat de overdracht zonder enig zichtbaar signaal naar de aanvaller gaat.
Ten slotte verspreidt de worm zich wanneer een schoon USB-station op de computer wordt aangesloten. Het scant de schone USB-drive op gewone bestanden, Word-documenten, Excel-werkbladen en PDF's, vervangt ze door nieuwe snelkoppelingsbestanden met dezelfde namen en infecteert de drive. Dan gaat de cyclus verder.
Microsoft raadt aan AutoRun uit te schakelen voor verwisselbare media, de uitvoering van .lnk-bestanden op USB-stations te blokkeren via groepsbeleid en scripthosts zoals wscript.exe en cscript.exe te beperken. Microsoft Defender-klanten kunnen ook jachtquery's uitvoeren om te controleren op gerelateerde activiteiten, inclusief verbindingen met een lokale Tor-proxy op poort 9050.
Het risico houdt daar niet op.
Als een gebruiker het adres van een ontvanger kopieert om geld te verzenden, vervangt de worm dit stilletjes door een door de aanvaller beheerd adres voordat de gebruiker het plakt, zodat de overdracht zonder enig zichtbaar signaal naar de aanvaller gaat.
Ten slotte verspreidt de worm zich wanneer een schoon USB-station op de computer wordt aangesloten. Het scant de schone USB-drive op gewone bestanden, Word-documenten, Excel-werkbladen en PDF's, vervangt ze door nieuwe snelkoppelingsbestanden met dezelfde namen en infecteert de drive. Dan gaat de cyclus verder.
Microsoft raadt aan AutoRun uit te schakelen voor verwisselbare media, de uitvoering van .lnk-bestanden op USB-stations te blokkeren via groepsbeleid en scripthosts zoals wscript.exe en cscript.exe te beperken. Microsoft Defender-klanten kunnen ook jachtquery's uitvoeren om te controleren op gerelateerde activiteiten, inclusief verbindingen met een lokale Tor-proxy op poort 9050.