Microsoft warnt vor neuer Malware, die die Zwischenablage von Krypto-Wallets kapertiert

Microsoft Threat Intelligence und Microsoft Defender-Experten berichteten am 17. Juni, dass seit Februar 2026 eine neue Malware-Variante Windows-Geräte infiziert. Die Bedrohung, ein sogenannter „Cliper“, der nun von Microsoft Defender Antivirus als „Trojan: Win32/CryptoBandits.A“ markiert wird, ist darauf ausgelegt, Kryptowährungen von Nutzern abzuziehen, indem die Zwischenablage überwacht wird. Die Malware funktioniert, indem sie die Zwischenablage etwa alle 500 Millisekunden beobachtet und Kryptowährungs-Wallet-Adressen stumm durch von Angreifern kontrollierte Adressen ersetzt, sobald Nutzer Transaktionsdetails kopieren und einfügen. Diese auf der Zwischenablage basierende Angriffsart nutzt die gängige Praxis aus, Wallet-Adressen bei Krypto-Transaktionen zu kopieren, sodass Angreifer Gelder umleiten können, ohne dass das Opfer es bemerkt.

Microsoft Identifiziert Malware-Verteilungsmethode

Laut Microsofts Bericht beginnt die Kampagne mit schädlichen Shortcut-Dateien (.lnk), die auf USB-Speicherlaufwerken verteilt werden. Die Malware bündelt zwei Komponenten: eine Wurm-Komponente, die sich selbst verbreitet, sowie einen Stealer, der Wallet-Daten abgreift. Der Wurm versteckt legitime Dokumente auf einem USB-Gerät und ersetzt sie durch getarnte Shortcuts, sodass ein Nutzer, der eine Datei öffnet, die vertraut aussieht, in Wahrheit die Malware startet, ohne es zu merken.

Die Malware sucht außerdem nach Seed-Phrasen und privaten Schlüsseln – den Zugangsdaten, die Krypto-Wallets entsperren. Um Persistenz aufrechtzuerhalten, läuft sie in einem verdeckten Fenster, richtet geplante Aufgaben ein und schließt ihre eigenen Dateien von Defender-Scans aus. Die Malware prüft, ob der Task-Manager geöffnet ist, und fährt sich herunter, falls dies der Fall ist – eine Anti-Analyse-Taktik, die dazu dienen soll, das Gerät vor Untersuchungen zu schützen.

CryptoBandits Nutzt Tor-basierte Infrastruktur

Microsoft zufolge setzt CryptoBandits einen portablen Tor-Client ein und leitet den Datenverkehr über einen lokalen Proxy, um zu einem versteckten Command-and-Control-Server zu gelangen. Dieses Design ermöglicht es ihr, Datendiebstahl mit Remote-Code-Ausführung zu verbinden: Aus einem geldgierigen Stealer wird ein leichter Backdoor, der weitere Befehle der Angreifer ausführen kann. Die Tor-basierte Infrastruktur erlaubt es der Malware, unauffällige Kommunikationskanäle aufrechtzuerhalten, ohne auf traditionelle Installer oder exponierte Server angewiesen zu sein.

FAQ

Welche ist die CryptoBandits-Malware, die Microsoft entdeckt hat?
CryptoBandits, von Microsoft Defender Antivirus als „Trojan: Win32/CryptoBandits.A“ eingestuft, ist eine Malware-Variante, die die Zwischenablage-Aktivität etwa alle 500 Millisekunden überwacht und Kryptowährungs-Wallet-Adressen mit von Angreifern kontrollierten Adressen austauscht. Microsoft Threat Intelligence und Microsoft Defender-Experten berichteten am 17. Juni, dass sie seit Februar 2026 Windows-Geräte infiziert.

Wie verbreitet sich die CryptoBandits-Malware auf Geräte?
Laut Microsofts Bericht verbreitet sich die Malware über schädliche Shortcut-Dateien (.lnk), die auf USB-Speicherlaufwerken verteilt werden. Die Wurm-Komponente versteckt legitime Dokumente auf USB-Geräten und ersetzt sie durch getarnte Shortcuts, die die Malware starten, wenn Nutzer etwas öffnen, das wie eine vertraute Datei aussieht.

Welche Infrastruktur nutzt CryptoBandits zur Kommunikation?
Microsoft erklärt, dass CryptoBandits einen portablen Tor-Client bereitstellt und den Verkehr über einen lokalen Proxy routet, um einen versteckten Command-and-Control-Server zu erreichen. Diese Tor-basierte Infrastruktur ermöglicht es der Malware, unauffällige Kommunikationskanäle aufrechtzuerhalten und Remote-Befehle auszuführen.