Innledning
En ny bølge av malware rettet mot kryptovaluta feier over den digitale økonomien, og aktørene er klokere og mer allsidige enn noen gang før. I frontlinjen av denne nye trusselen står «Librarian Ghouls», en Russland-fokusert avansert vedvarende trussel (APT) gruppe, samt «Crocodilus», en kryssplattforms tyv med røtter i Android-banktrojanere.
«Librarian Ghouls» siste kampanje bruker legitim programvare som AnyDesk for å skjule kryptovaluta-minere og tasteloggere. Når de først har fått tilgang, er de stille – inntil midnatt,» rapporterer Kaspersky Threat Intelligence (9. juni 2025).
Trusler fra Librarian Ghouls
Denne APT-gruppen forkler angrepene sine som rutinedokumenter (f.eks. betalingsordrer) i phishing-e-poster. Når disse åpnes, installeres deres malware. Prosessen inkluderer:
- Installasjon av «4t Tray Minimizer» for å skjule ondsinnede prosesser.
- Utrulling av AnyDesk for ekstern tilgang og XMRig for å mine Monero.
- Stjeling av kryptovaluta-lommeboklegitimasjon og registernøkler.
En ny funksjon i 2025 er midnattaktiveringen – malware kjører kun om natten for å unngå oppdagelse. Deres angrep er ikke bare brutale ran, men kombinerer teknisk ekspertise med psykologisk manipulasjon, og slår til på hvert trinn av kryptovaluta-syklusen.
Det mest unike ved denne gruppen er bruken av tidbaserte triggere: malware aktiveres kun om natten, noe som reduserer sjansene for oppdagelse av sikkerhetsteam i arbeidstiden. Den bruker en nattemetode for å stjele lommeboklegitimasjon, mine Monero med XMRig, og eksfiltrere sensitiv informasjon uoppdaget. Ofte blir ikke ofrene klar over hva som har skjedd før flere uker senere, når lommebøkene deres er tømt og systemene deres er kompromittert utover enkel gjenoppretting.
Utviklingen av Crocodilus
Opprinnelig en tyrkisk banktrojaner, retter Crocodilus seg nå mot globale kryptobrukere med:
- Falske apper som utgir seg for å være Coinbase, MetaMask eller mineverktøy.
- Automatiserte seed-phrase-høstere som skanner enheter for lommebokdata.
- Sosial manipulering via falske «Bank Support»-kontakter i brukerens telefon.
«Crocodilus» nyeste parser henter seed-setninger med kirurgisk presisjon. Ett klikk på en falsk lenke, og lommeboken din er borte,» advarer ThreatFabric MTI Team (3. juni 2025).
Crocodilus har raskt utviklet seg fra en regional trussel til en global aktør. Den er ikke lenger begrenset til Android, men retter seg mot ondsinnede nettlesertillegg, kloner av skrivebordsprogrammer, og til og med Telegram-bots for å utvide rekkevidden sin. Malwareets mest dødelige funksjon er evnen til å stjele seed-setninger fra utklippstavledata, skjermbilder og autofyll-data, noen ganger før offeret er klar over at de er målrettet.
Hackernes Strategier
Trusselaktører begynte å selge tilgang til de kompromitterte lommebøkene på darknet-fora, og etablerte et blomstrende svart marked for stjålne kryptovalutaeiendeler som vokser i størrelse og kompleksitet. Crocodilus spammer også uskyldige «support»-numre til offerets telefoner, og lurer brukerne til å gi sensitive opplysninger under påskudd av teknisk støtte.
Hackere utnytter også X (Twitter) med:
- Bekreftede kontoer som promoterer svindel-airdrop.
- QR-koder som lenker til lommebok-tømmende smartkontrakter.
- Dypfalsk AI-teknologi som etterligner virkelige agenter.
Et virkelig eksempel er fra mai 2025, da en dypfalsk «Elon Musk» livestream oppfordret seerne til å skanne en QR-kode for en «TeslaCoin»-giveaway. Offerene tapte over 200 000 dollar på 30 minutter. En svevende trend er utviklingen av sanntids dypfalske støttechatter. Hackere bruker AI-genererte avatarer for å utgi seg for kjente merker eller influensere på X, og gir autentisk, interaktiv «hjelp» for å lure ofre til å dele sine seed-setninger eller private nøkler.
Forebyggende Tiltak
Fra Quillaudits’ 2025-guide: For beskyttelse mot slike trusler anbefales en flerlags OPSEC-tilnærming. Eksperter råder til å bruke maskinvare-lommebøker for investeringer av høy verdi, aktivere to-faktor-autentisering, og aldri dele seed-setninger – ikke engang med antatt støttepersonell eller legitime sosiale kontoer.
Regelmessige sikkerhetskontroller av lommebøker, oppdatert programvare og deling av kryptovalutaoperasjoner på separate enheter kan også redusere risikoen. Etter hvert som angrepene blir mer innovative, er den beste forsvarsteknikken å forbli godt informert og være skeptisk.
