Microsoft Threat Intelligence und Microsoft Defender Experts haben einen Windows-basierten Crypto-Clipper identifiziert, der seit Februar 2026 Nutzer trifft. Die Schadsoftware verbreitet sich über bösartige .lnk-Verknüpfungen und USB-Laufwerke, startet einen gebündelten Tor-Proxy über Windows Script Host und ActiveX und verbindet sich mit Hidden-Service-Command-and-Control-Servern.
Warum das wichtig ist
Das Werkzeugset der Betreiber geht deutlich über den klassischen Adressentauscher-Trick hinaus. Microsoft erklärte, die Schadsoftware könne Zwischenablage-Daten stehlen, Seed-Phrasen und private Schlüssel exfiltrieren, Screenshots anfertigen und Ziel-Wallet-Adressen in der Zwischenablage umschreiben — das bedeutet, dass eine einzige infizierte Maschine Hot Wallets, Software-Wallets und jeden Workflow leerräumen kann, der vor einer Überweisung eine Adresse einfügt. Microsoft Defender Antivirus erkennt die Familie als Trojan:Win32/CryptoBandits.A.
Marktauswirkungen
Der Offline-Vektor — USB und Verknüpfungsdateien statt Phishing-Landingpages — ist der Teil, den die Security-Community am genauesten untersuchen wird, da er die E-Mail- und Browser-Schutzmaßnahmen umgeht, auf die die meisten Privatanleger setzen. Für Investoren bleibt die praktische Lesart unverändert: aussagekräftige Bestände nicht auf internetverbundenen Maschinen halten, Adressen zeichenweise auf dem Bildschirm einer Hardware-Wallet prüfen und jeden Windows-Host, der Seed-Phrasen anfasst, standardmäßig als Cold-Storage-kompromittiert behandeln.
Sicher bleiben
Microsoft Defender erkennt und isoliert diese Familie automatisch, doch offline sich verbreitende Clipper-Malware bleibt auf unzureichend gepatchten Maschinen oft länger unentdeckt. Einen vollständigen Defender-Scan ausführen, alle USB-Laufwerke prüfen, die unbekannte Hosts berührt haben, und davon ausgehen, dass jede Maschine, die zur Erzeugung oder zum Einfügen einer Seed-Phrase genutzt wurde, für diesen Zweck nicht mehr sicher ist.
Häufig gestellte Fragen
-
Was ist Trojan:Win32/CryptoBandits.A?
Das ist der Erkennungsname von Microsoft Defender für eine Windows-basierte Crypto-Clipper-Familie, die seit Februar 2026 aktiv ist. Sie verbreitet sich über bösartige .lnk-Verknüpfungen und USB-Laufwerke, nutzt einen gebündelten Tor-Proxy und verbindet sich mit Hidden-Service-C2-Servern.
-
Wie stiehlt diese Clipper-Malware tatsächlich Krypto?
Sie kann Zwischenablage-Daten, Seed-Phrasen und private Schlüssel exfiltrieren, Screenshots anfertigen und Ziel-Wallet-Adressen in der Zwischenablage umschreiben, sodass ein einziger infizierter Host Hot Wallets komplett leerräumen kann.
-
Warum ist der USB- und .lnk-Verbreitungsvektor relevant?
Er umgeht die E-Mail- und Browser-Schutzmaßnahmen, auf die die meisten Privatanleger setzen. Die Malware erreicht einen Host offline, daher greifen standardmäßige Phishing-Abwehrmaßnahmen bei der Erstinfektion nicht.
-
Schützt Microsoft Defender vor diesem Clipper?
Ja. Microsoft Defender Antivirus erkennt die Familie als Trojan:Win32/CryptoBandits.A und isoliert sie automatisch. Ein vollständiger Defender-Scan erkennt Infektionen auf einem Host.
-
Was sollten Krypto-Inhaber tun, wenn eine Windows-Maschine infiziert ist?
Alle USB-Laufwerke prüfen, die den Host berührt haben, einen vollständigen Defender-Scan ausführen und jede Maschine, die zur Erzeugung oder zum Einfügen einer Seed-Phrase genutzt wurde, als Cold-Storage-kompromittiert behandeln. Mittel auf eine frische Wallet umziehen, deren Seed nie auf der betroffenen Maschine…
TheBlock
CoinTelegraph
Lookonchain