CryptoBanditsA, Trojaner

CryptoBandits.A: Trojaner manipuliert Krypto-Überweisungen per USB

19.06.2026 - 13:57:14 | boerse-global.de

Microsoft warnt vor Trojaner, der über USB-Sticks Krypto-Wallet-Adressen in der Zwischenablage manipuliert und Überweisungen umleitet.

CryptoBandits.A: Neue USB-Malware stiehlt Krypto-Vermögen
CryptoBanditsA - A glowing green circuit board connected to a translucent USB drive, with binary code overlaid, symbolizing digital threat. 19.06.2026 - Bild: über boerse-global.de

Der von Microsoft-Experten entdeckte Trojaner „CryptoBandits.A“ nutzt infizierte USB-Sticks zur Verbreitung und manipuliert die Zwischenablage, um Überweisungen auf Konten der Angreifer umzuleiten.

Anzeige

Achtung: Diese unsichtbaren Spionage-Programme lauern gerade auf Ihrem Windows-PC. Sicherheitsexperten warnen – so schützen Sie sich sofort und kostenlos. Gratis: Das Anti-Virus-Paket, das Schnüfflern die Tür vor der Nase zuschlägt

Infektion per USB: So funktioniert der Angriff

Die Malware verbreitet sich über manipulierte Windows-Verknüpfungen (.lnk-Dateien) auf USB-Speichermedien. Sobald ein Nutzer eine solche präparierte Verknüpfung öffnet, installiert der Schädling zwei verschlüsselte JavaScript-Dateien und richtet zeitgesteuerte Aufgaben ein, die ihn dauerhaft im System verankern.

Besonders perfide: Der Wurm versteckt originale Dokumente auf sauberen USB-Sticks und ersetzt sie durch gleichnamige, aber bösartige .lnk-Dateien. So verleitet er ahnungslose Nutzer zur erneuten Infektion weiterer Geräte.

Um der Entdeckung zu entgehen, setzen die Entwickler auf PyArmor und PyInstaller – Werkzeuge, die den Code verschleiern und eine Analyse erschweren. Microsoft zufolge blieb die Kampagne dank dieser Wurm-ähnlichen Verbreitung über Monate hinweg aktiv.

Die Zwischenablage als Einfallstor

Das Herzstück des Trojaners ist die ständige Überwachung der Windows-Zwischenablage. Alle 500 Millisekunden scannt die Software nach kryptobezogenen Daten – darunter BIP39-Seed-Phrasen mit 12 oder 24 Wörtern sowie private Schlüssel für Bitcoin und Ethereum.

Erkennt die Malware eine Krypto-Wallet-Adresse – unterstützt werden Formate wie Bitcoin (Legacy, P2SH, Bech32 und Taproot), Ethereum, Tron und Monero – ersetzt sie diese automatisch durch eine Adresse der Angreifer. Das Opfer überweist ahnungslos in die falsche Richtung.

Anzeige

Wie ausgespäht ist Ihr Windows-PC wirklich? Ein kostenloser Experten-Report zeigt, wie Sie sich in wenigen Schritten effektiv vor Viren, Spionage-Software und Cyberattacken schützen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Doch damit nicht genug: Der Schädling betreibt aggressive Überwachung des infizierten Systems. Er erstellt alle zehn Sekunden fünf Screenshots – ein Tempo, das potenziell Passwörter, Wiederherstellungsphrasen oder andere sensible Daten auf dem Bildschirm abgreift.

Kommunikation übers Darknet und Schutzmaßnahmen

Für die Steuerung und Datenübertragung nutzt die Malware das Tor-Netzwerk. Sie installiert einen portablen Tor-Client namens „ugate.exe“ und richtet einen lokalen SOCKS5-Proxy auf Port 9050 ein. So gelangen gestohlene Daten an .onion-Adressen. Ein integrierter „EVAL“-Befehl erlaubt den Angreifern zudem, beliebigen Code auf dem kompromittierten Rechner auszuführen.

Microsoft empfiehlt Administratoren und Nutzern mehrere Schutzmaßnahmen:

  • AutoRun und AutoPlay deaktivieren
  • Ausführung von .lnk-Dateien von Wechselmedien blockieren
  • Überwachung auf ungewöhnliches Verhalten von Skript-Hosts wie wscript.exe und cscript.exe
  • Kontrolle unautorisierter PowerShell-Aktivitäten
  • Achtung bei unerwarteten Proxy-Verbindungen auf localhost Port 9050

Microsoft Defender wurde bereits aktualisiert und erkennt den Schädling als Trojan:Win32/CryptoBandits.A.

de | wissenschaft | 69582310 |