📊 Die Bedrohungslage
Der Angriff: Microsoft Threat Intelligence hat eine Windows-basierte Kampagne zur Kryptowährungs-Datenklau- und -Diebstahl identifiziert – betitelt als „CryptoBandits“ – die seit Februar 2026 aktiv Nutzer kompromittiert.
Der Vektor: Die Infektion verbreitet sich über physische USB-Speichermedien, indem sie legitime Dokumente tarnt und sie durch bösartige Windows-Verknüpfungsdateien (.lnk) ersetzt, die die gleichen Namen tragen.
Die Mechanik: Nach der Ausführung setzt die Malware einen Wurm ein, um andere verbundene Wechseldatenträger zu infizieren, und nutzt dafür die Windows Script Host, um einen gebündelten Tor-Proxy zu starten, den sie verwendet, um sich heimlich mit einem versteckten Command-and-Control-Server zu verbinden.
🧱 Was es stiehlt & wie
Adressaustausch: Die Clipper-Komponente überwacht die System-Zwischenablage kontinuierlich und fragt sie ungefähr alle 500 Millisekunden ab. Sie ersetzt stillschweigend kopierte Bitcoin- (BTC), Monero- (XMR) und Tron- (TRX) Wallet-Adressen durch vom Angreifer kontrollierte Entsprechungen, die so gestaltet sind, dass sie die ursprünglichen Zeichen teilweise nachahmen.
Seed-Phrasen-Jagd: Der Dieb durchsucht aggressiv die Zwischenablagedaten, um 12- oder 24-Wort-BIP39-Wiederherstellungs-Seed-Phrasen, Bitcoin Wallet Import Format (WIF)-Private Keys und Ethereum-Private Keys zu erkennen und zu extrahieren.
Visuelle Aufklärung: Um weitere Informationen über die Wallet-Konten und Hardwareeinrichtungen des Opfers zu gewinnen, erfasst die Malware Cluster von fünf Screenshots (im Abstand von zehn Sekunden) und exfiltriert sie asynchron über das Tor-Netzwerk.
Defensive Einschätzung: Da diese Malware außerdem eine leichtgewichtige Hintertür einrichtet, die Remote-Code-Ausführung ermöglicht, rät Microsoft dringend dazu, AutoRun und AutoPlay auf allen Wechseldatenträgern zu deaktivieren. Nutzer sollten die Ausführung von .lnk-Dateien von USB-Laufwerken einschränken und Netzwerke auf nicht autorisierte lokale Tor-Proxy-Aktivität überwachen.




