CryptoBandits: Malware kapert Windows-Zwischenablage und leitet Überweisungen um
21.06.2026 - 15:24:47 | boerse-global.de
Eine neue Schadsoftware namens „CryptoBandits" kapert die Zwischenablage von Windows-Rechnern und leitet Überweisungen auf Konten von Kriminellen um. Seit Februar 2026 ist die Malware aktiv.
So funktioniert der digitale Diebstahl
Der Trojaner mit der Bezeichnung Trojan:Win32/CryptoBandits.A verbreitet sich vor allem über infizierte USB-Sticks. Genauer gesagt nutzen die Angreifer manipulierte .lnk-Dateien – die typischen Verknüpfungen, die Windows standardmäßig anlegt. Sobald ein Nutzer den Stick anschließt, installiert sich die Malware im Hintergrund.
Anzeige: Wer regelmäßig Kryptowährungen überweist, sollte die neue Bedrohung durch CryptoBandits kennen. Die Malware ersetzt kopierte Wallet-Adressen in Sekundenbruchteilen – mit unserer Checkliste prüfen Sie jede Adresse sicher. Jetzt kostenlosen Schutz-Report anfordern
Ihr Kern-Trick: Clipboard-Hijacking. Die Software überwacht die Windows-Zwischenablage im 500-Millisekunden-Takt. Kopiert ein Nutzer eine Krypto-Wallet-Adresse, ersetzt die Malware diese blitzschnell durch eine Adresse der Angreifer. Das Opfer fügt dann vermeintlich die richtige Adresse ein – und überweist ahnungslos an die Kriminellen.
Betroffen sind die wichtigsten Kryptowährungen: Bitcoin, Ethereum, Tron und Monero. Doch damit nicht genug. Die Schadsoftware stiehlt auch sensible Sicherheitsdaten wie BIP39-Seed-Phrasen (12 oder 24 Wörter), Ethereum-Private-Keys und Bitcoin-WIF-Schlüssel.
Versteckte Kommunikation und Überwachung
Um nicht aufzufallen, setzt CryptoBandits auf ein portables Tor-Programm namens ugate.exe. Die Malware leitet ihre Kommunikation über einen lokalen Proxy auf Port 9050 und verschleiert so ihre Command-and-Control-Server. Das macht es Sicherheitslösungen schwer, die Verbindungen zu erkennen.
Die Überwachungsfähigkeiten gehen weit über den Clipboard-Diebstahl hinaus. Die Malware kann Screenshots des infizierten Rechners anfertigen – Berichten zufolge bis zu fünf Aufnahmen alle zehn Sekunden. Zudem enthält sie einen „EVAL"-Befehl, der den Angreifern die Fernausführung von Code ermöglicht. Damit könnten sie weitere Schadsoftware nachladen oder Daten manipulieren.
Anzeige: Infizierte USB-Sticks sind die Hauptverbreitungsweg von CryptoBandits. Unternehmen, die keine Richtlinien für Wechseldatenträger haben, riskieren den Diebstahl von Seed-Phrasen und Private-Keys. Dieser Report zeigt, wie Sie USB-Geräte absichern und Wallet-Adressen zuverlässig prüfen. USB-Sicherheitsleitfaden jetzt sichern
Schutzmaßnahmen für Unternehmen und Privatnutzer
Microsoft empfiehlt, die AutoRun-Funktion für Wechseldatenträger zu deaktivieren. Ebenso sollten Unternehmen Richtlinien erlassen, die die Ausführung von .lnk-Dateien von USB-Sticks blockieren. Microsoft Defender erkennt die Bedrohung bereits unter der Bezeichnung Trojan:Win32/CryptoBandits.A.
Der wichtigste Tipp für Krypto-Nutzer: Wallet-Adressen vor jeder Überweisung manuell überprüfen. Wer die Zieladresse nicht einfach per Einfügen übernimmt, sondern noch einmal kontrolliert, kann den Betrug vereiteln. Denn die Malware arbeitet im Millisekunden-Bereich – ein zweiter Blick auf die Adresse reicht aus, um den Betrug zu entlarven.
