Microsoft warnt Windows-Nutzer vor der CryptoBandits-Clipper-Malware

Microsoft Threat Intelligence hat eine Windows-Malware-Kampagne detailliert beschrieben, die als Trojan:Win32/CryptoBandits.A verfolgt wird. Dabei geht es um einen Clipper, der sich über Wechseldatenträger verbreitet, die Zwischenablage-Aktivität überwacht und Kryptowährungs-Adressen austauscht, bevor Opfer Gelder senden. Die Malware zielt auf eine der häufigsten Gewohnheiten in Krypto ab: das Kopieren und Einfügen von Wallet-Adressen, wobei legitime Zieladressen durch vom Angreifer kontrollierte ersetzt werden. Diese Kampagne steht für eine krypto-spezifische Diebstahlmethode, die das Vertrauen in USB-Laufwerke und routinemäßige Transaktions-Workflows ausnutzt.

CryptoBandits Malware überwacht die Zwischenablage und tauscht Krypto-Adressen aus

Die Malware überwacht die Zwischenablage und ersetzt kopierte Wallet-Adressen durch vom Angreifer kontrollierte Adressen. In Microsofts Bericht heißt es, dass die CryptoBandits-Kampagne ein hochfrequentes Monitoring der Zwischenablage nutzt und auch nach sensiblen Krypto-Daten wie privaten Schlüsseln oder Seed-Phrasen suchen kann. Nutzer kopieren eine legitime Zieladresse, doch die Malware unterbricht und ersetzt die Adresse, bevor das Opfer sie in eine Transaktion einfügt. Blockchain-Überweisungen sind schwer oder unmöglich rückgängig zu machen, und Opfer merken möglicherweise erst nach dem Prüfen des Transaktionsdatensatzes, was passiert ist.

Malware verbreitet sich über USB-Laufwerke mithilfe bösartiger Kurzbefehle

Microsoft zufolge kann sich die Malware über Wechseldatenträger ausbreiten, indem sie echte Dokumente versteckt und sie durch bösartige Shortcut-Dateien ersetzt, die vertraute Dokumentnamen verwenden. Ein Nutzer öffnet das, was wie ein normaler PDF-, Tabellenkalkulations- oder Dokument-Datei von einem USB-Laufwerk aussieht, doch der Shortcut führt stattdessen schädlichen Code aus. Die Kampagne nutzt außerdem Tor-Infrastruktur für den Command-and-Control-Verkehr, so Microsoft. Indem Angreifer die Kommunikation über versteckte Dienste routen, können sie die Malware schwerer störbar und für herkömmliche Netzwerkabwehrmaßnahmen schwieriger zu inspizieren machen.

Microsoft empfiehlt die Adressprüfung vor dem Senden von Geldern

Microsofts Empfehlung beinhaltet, vor dem Senden von Geldern die ersten und letzten Zeichen der Zieladresse zu prüfen. Für größere Überweisungen sollten Nutzer eine Hardware-Wallet oder eine Wallet-Anzeige verwenden, die die Adresse unabhängig vom infizierten Computer anzeigt. Nutzer sollten zudem vermeiden, Dateien aus unbekannten USB-Laufwerken zu öffnen, Windows-Sicherheitswerkzeuge aktuell zu halten und Shortcuts auf Wechselspeichern mit Misstrauen zu behandeln. Wenn ein Laufwerk plötzlich vertraute Dateien als Shortcut-Links anzeigt, ist das ein Warnsignal. Diese Kampagne ist auf Windows fokussiert und richtet sich an Krypto-Nutzer, die für Transaktionsadressen auf Copy-Paste-Workflows angewiesen sind.

FAQ

Was macht die CryptoBandits-Malware mit Krypto-Wallet-Adressen?

Die Malware überwacht die Zwischenablage-Aktivität und ersetzt kopierte Krypto-Wallet-Adressen durch vom Angreifer kontrollierte Adressen, bevor Opfer sie in Transaktionen einfügen. Microsoft sagt, dass sie ein hochfrequentes Monitoring der Zwischenablage nutzt und auch nach privaten Schlüsseln oder Seed-Phrasen suchen kann.

Wie gelangt CryptoBandits auf andere Computer?

Microsoft berichtet, dass sich die Malware über entfernbare USB-Laufwerke verbreitet, indem sie echte Dokumente versteckt und sie durch bösartige Shortcut-Dateien ersetzt, die vertraute Dokumentnamen verwenden. Wenn ein Nutzer das öffnet, was wie eine normale Datei von einem USB-Laufwerk aussieht, führt der Shortcut stattdessen schädlichen Code aus.