CryptoBandits-Trojaner: Microsoft warnt vor Krypto-Dieben seit Februar
19.06.2026 - 00:02:20 | boerse-global.de
Seit Februar 2026 treibt der Trojaner CryptoBandits sein Unwesen – und nutzt dabei raffinierte Methoden, um unbemerkt zu bleiben.
Die Sicherheitsexperten von Microsoft Threat Intelligence haben die Schadsoftware als Trojan:Win32/CryptoBandits.A identifiziert. Das Besondere: Der Trojaner verbreitet sich wie ein Wurm über USB-Sticks und kommuniziert über das anonyme Tor-Netzwerk mit seinen Steuerungs-Servern.
Clevere Tarnung und hartnäckige Präsenz
Anzeige: Seit Februar treibt der Trojaner CryptoBandits sein Unwesen – und tauscht alle 500 Millisekunden Ihre Wallet-Adresse aus. Unser kostenloser Leitfaden zeigt, wie Sie die Malware erkennen und Ihre Kryptos schützen. Jetzt Schutzleitfaden anfordern
Der Einstieg erfolgt meist harmlos: Ein infizierter USB-Stick enthält manipulierte .lnk-Verknüpfungen. Sobald ein Nutzer darauf klickt, ist der Computer kompromittiert. Der Wurm sucht sofort nach weiteren USB-Geräten und infiziert auch diese.
Um nicht entdeckt zu werden, hat sich CryptoBandits einiges einfallen lassen: Läuft der Task-Manager, stellt die Malware sofort ihre Aktivitäten ein. Zudem installiert sie sich über geplante Aufgaben tief im System – selbst ein Neustart hilft dann nicht mehr.
Die Kommunikation mit den Angreifern läuft über einen Tor-Proxy auf dem lokalen Port 9050. Windows Script Host und ActiveX werden genutzt, um diese Verbindung aufzubauen.
Diebe lauern in der Zwischenablage
Das Hauptziel der Angreifer: Kryptowährungen stehlen. Alle 500 Millisekunden überwacht die Malware die Zwischenablage. Kopiert ein Nutzer eine Wallet-Adresse, ersetzt der Trojaner diese blitzschnell durch eine Adresse der Angreifer.
Betroffen sind zahlreiche Kryptowährungen: Bitcoin (in verschiedenen Formaten wie Legacy, P2SH, Taproot und Bech32), Ethereum, Tron und Monero. Besonders perfide: Auch Wiederherstellungs-Phrasen (12 oder 24 Wörter nach BIP39-Standard) und private Schlüssel werden abgegriffen.
Vollwertige Hintertür für Angreifer
CryptoBandits ist mehr als ein simpler Clipboard-Dieb. Die Schadsoftware fungiert als komplette Hintertür ins System. Sie macht alle zehn Sekunden Screenshots, um das Nutzerverhalten zu überwachen. Über einen speziellen EVAL-Befehl können die Angreifer zudem eigenen Code auf dem infizierten Rechner ausführen.
Microsoft rät Sicherheitsteams, auf verdächtige Prozesse zu achten: Wenn WScript oder cscript.exe plötzlich PowerShell oder curl starten, oder wenn ungewöhnlicher Datenverkehr zum Tor-Proxy-Port auftritt, könnte ein Befall vorliegen.
Anzeige: Ihre Recovery-Phrase und Private Keys sind das Ziel – CryptoBandits schnappt sie sich über die Zwischenablage. Mit den 5 Schutzmaßnahmen aus unserem Report bleiben Ihre Coins sicher. Sicherheits-Report jetzt sichern
Zweite Angriffswelle mit KI-Unterstützung
Parallel zu CryptoBandits haben Forscher von Check Point eine weitere Kampagne entdeckt. Diese rust-basierte Malware zielt sowohl auf Windows als auch auf macOS ab. Statt über USB-Sticks setzen die Angreifer hier auf Social Engineering: Fake-Bewertungen, KI-generierte Sprecher und koordinierte Kommentare auf Plattformen wie VirusTotal sollen Vertrauen schaffen.
Die Schadsoftware tarnt sich als nützliche Programme – etwa als Solana-Sniper-Bots oder Wett-Vorhersagetools. Beide Kampagnen zeigen: Krypto-Diebe werden immer professioneller und raffinierter.
