Preise werden geladen…
Zipp Zipp Werben
Registrieren Anmelden
🩸BEARISH CoinDesk

Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets

CryptoBandits zeigt eine leise Eskalation: Durch Clipboard-Hijacking und Live-Adressaustausch während einer Copy-Paste-Überweisung wird ein einzelner USB-Steckvorgang zum vollständigen Wallet-Drain, mit Exfiltration über Tor zu…

Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets
Microsoft warnt: USB-Wurm stiehlt BTC und ETH aus Wallets

Microsoft hat eine Schadsoftware offengelegt, die es als „Crypto Clipper" bezeichnet und die seit Februar über infizierte USB-Sticks verbreitet wird. Sie kapert Krypto-Wallets unter Windows. Der Wurm wird von Defender als Trojan:Win32/CryptoBandits erkannt, installiert sich über eine bösartige .lnk-Verknüpfung, läuft im Hintergrund und wartet auf neue USB-Sticks, um den Kreislauf zu wiederholen.

Sobald er auf einem Rechner ist, prüft die wallet-stealing-Komponente die Windows-Zwischenablage ungefähr alle 500 Millisekunden und beobachtet Seed-Phrasen und private Schlüssel, die zu Bitcoin- und Ethereum-Wallets gehören. Erkennt die Schadsoftware eine bevorstehende Überweisung, tauscht sie im Stillen die Empfängeradresse gegen eine vom Angreifer kontrollierte aus, sodass eine routinemäßige Copy-Paste-Überweisung Gelder ohne sichtbaren Hinweis an die falsche Wallet leiten kann. Erfasste Zwischenablage-Daten werden über das Tor-Netzwerk exfiltriert, zusammen mit fünf Screenshots im Abstand von zehn Sekunden, um den Standort des Betreibers zu verschleiern.

Der Verbreitungsmechanismus verleiht der Kampagne Beständigkeit. Wird ein sauberer USB-Stick in einen bereits infizierten PC gesteckt, durchsucht der Wurm gewöhnliche Dokumente, Word-Dateien, Excel-Tabellen und PDFs und ersetzt jedes davon durch eine gleichnamige Verknüpfung, die die Infektionskette erneut ausführt. Die Originaldokumente werden ausgeblendet, und der Kreislauf wiederholt sich, sobald der Stick einen anderen Rechner erreicht.

Warum das wichtig ist

CryptoBandits ist eine hybride Bedrohung: ein Stealer, ein Clipboard-Hijacker und ein selbstverbreitender Wurm in einem Paket. Die meisten wallet-stealing-Schadsoftware gelangt über Phishing-Seiten oder bösartige Browser-Erweiterungen auf einen Rechner, wo ein aufmerksamer Nutzer die Falle oft noch erkennen kann. Ein USB-basierter Wurm umgeht diesen Eingang komplett und macht physische Medien zum Auslieferungsvehikel — genau das hat Microsoft als ungewöhnliches Verhalten markiert.

Der Live-Adressaustausch ist die gefährlichere Hälfte des Designs. Herkömmliche Clipboard-Stealer protokollieren Seed-Phrasen und private Schlüssel und warten darauf, dass der Nutzer eine Transaktion startet, die sie überholen können. CryptoBandits hingegen überschreibt das Ziel in Echtzeit, sodass ein Nutzer, der die Adresse nach dem Einfügen nochmals prüft, trotzdem die Zeichenkette des Angreifers sieht — nicht die, die er ursprünglich kopiert hatte.

Verwandte Tokens
$BTC $ETH
#CryptoBandits#CryptoClipper#Windows#PrivateKeys

Häufig gestellte Fragen

  1. Was ist Trojan:Win32/CryptoBandits und was macht er?

    Es ist ein von Microsoft benannter Crypto-Clipping-Wurm, der sich über infizierte USB-Sticks verbreitet, die Windows-Zwischenablage auf Wallet-Seed-Phrasen und private Schlüssel überwacht und Empfängeradressen bei Krypto-Überweisungen still austauscht.

  2. Wie stiehlt die Schadsoftware Krypto aus einer Wallet?

    Einmal installiert, prüft sie ungefähr alle 500 Millisekunden die Zwischenablage auf Seed-Phrasen und private Schlüssel zu Bitcoin- und Ethereum-Wallets, exfiltriert die Daten über Tor und überschreibt eine kopierte Empfängeradresse mit einer vom Angreifer kontrollierten, bevor der Nutzer sie einfügt.

  3. Wie verbreitet sich der Wurm von einem Rechner zum anderen?

    Die Verbreitung läuft über USB-Sticks: Wird ein sauberer Stick in einen infizierten PC gesteckt, ersetzt der Wurm gewöhnliche Dokumente — Word, Excel, PDFs — durch gleichnamige .lnk-Verknüpfungen, die die Infektionskette erneut ausführen. Die Originale werden versteckt, und der Kreislauf wiederholt sich, sobald der…

  4. Seit wann ist CryptoBandits aktiv?

    Microsoft erklärte, die Schadsoftware verbreite sich seit Februar über infizierte USB-Sticks und ziele auf Krypto-Wallets von Windows-Nutzern.

  5. Wie können sich Nutzer und Sicherheitsteams gegen CryptoBandits verteidigen?

    Microsoft empfiehlt, AutoRun für Wechseldatenträger zu deaktivieren, die Ausführung von .lnk-Dateien auf USB-Sticks per Gruppenrichtlinie zu sperren, Skript-Hosts wie wscript.exe und cscript.exe einzuschränken, Defender-Telemetrie auf lokale Verbindungen zu einem Tor-Proxy auf Port 9050 zu überwachen und Netzwerke…

Quellenangabe
Aggregiert von CoinDesk · Verifiziert · Zuletzt aktualisiert vor 2h
Original öffnen →

Mehr aus Sicherheit

Geschichten, die unsere Redakteure gut dazu finden.

Älter in Sicherheit

Holen Sie sich die frühere Berichterstattung zu diesem Thema nach.