STONEDRIVE-Wurm, Krypto-Dieb

STONEDRIVE-Wurm: Krypto-Dieb kapert Zwischenablage seit Februar

21.06.2026 - 04:13:57 | boerse-global.de

Ein raffinierter USB-Wurm namens STONEDRIVE zielt gezielt auf Kryptowährungs-Wallets und leert sie systematisch.

STONEDRIVE USB-Wurm: Neue Gefahr für Krypto-Besitzer
STONEDRIVE-Wurm - A glowing green circuit board with binary code, a digital padlock, and a stylized USB drive, symbolizing a cyber threat. 21.06.2026 - Bild: über boerse-global.de

Seit Februar 2026 treibt ein raffinierter USB-Wurm sein Unwesen. Die Schadsoftware namens STONEDRIVE zielt auf Kryptowährungs-Besitzer ab und leert systematisch deren digitale Geldbörsen.

Microsofts Threat Intelligence hat die Kampagne aufgedeckt. Der Wurm, den die Sicherheitsexperten als Trojan:Win32/CryptoBandits.A führen, kombiniert mehrere perfide Methoden: Er kapert die Zwischenablage, stiehlt sensible Zugangsdaten und kommuniziert verschlüsselt über das Tor-Netzwerk. Das Ziel: digitale Vermögenswerte unbemerkt abzugreifen.

Anzeige

Angesichts immer raffinierterer Methoden wie beim STONEDRIVE-Wurm ist ein proaktiver Schutz Ihres PCs unerlässlich, um Spionage-Programme rechtzeitig zu stoppen. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihren Rechner effektiv gegen Viren und Hacker-Angriffe absichern. Gratis Anti-Virus-Paket jetzt herunterladen

So funktioniert der digitale Diebstahl

STONEDRIVE verbreitet sich über manipulierte .lnk-Dateien auf USB-Sticks. Ist ein System erst infiziert, beginnt eine gnadenlose Überwachung: Alle 500 Millisekunden prüft der Wurm die Zwischenablage. Erkennt er eine Krypto-Adresse für Bitcoin, Ethereum, Tron oder Monero, ersetzt er sie blitzschnell durch eine Adresse der Angreifer.

Doch damit nicht genug. Der Wurm durchforstet das System gezielt nach Wallet-Dateien populärer Anwendungen wie Electrum, Exodus und MetaMask. Microsofts Analyse zeigt: Die Schadsoftware kann BIP39-Seed-Phrasen, Ethereum-Private-Keys und Bitcoin-WIF-Schlüssel stehlen. Zusätzlich sammelt sie Browserdaten und macht Screenshots – fünf Bilder innerhalb von zehn Sekunden, um die Aktivitäten des Nutzers zu dokumentieren.

Tor-Netzwerk als Tarnkappe

Um traditionelle Netzwerküberwachung zu umgehen, setzt STONEDRIVE auf das Tor-Netzwerk für seine Kommando- und Kontrollinfrastruktur. Der Wurm installiert einen portablen Tor-Client (ugate.exe) und richtet einen SOCKS5-Proxy auf Port 9050 ein. So kommuniziert er anonym mit den Servern der Angreifer – über PHP-basierte Endpunkte wie /route.php und /recvf.php.

Die Malware fungiert zudem als Hintertür ins System. Ein EVAL-Befehl erlaubt die ferngesteuerte Ausführung von Code. Und sie hat Antianalyse-Funktionen: Erkennt der Wurm den Windows-Task-Manager, stellt er seine bösartigen Aktivitäten sofort ein.

Schutzmaßnahmen für Betroffene

Microsoft hat Mitte Juni 2026 umfangreiche technische Daten veröffentlicht – darunter SHA-256-Hashes, MITRE-ATT&CK-Zuordnungen und KQL-Abfragen für die Erkennung in Unternehmensnetzwerken. Die Sicherheitsexperten empfehlen:

  • AutoRun auf Windows-Systemen deaktivieren
  • Ausführung von .lnk-Dateien von USB-Sticks blockieren
  • Krypto-Adressen vor jeder Transaktion vollständig überprüfen
  • Hardware-Wallets für größere Bestände nutzen

Die Offenlegung der Tor-basierten C2-Infrastruktur zeigt einen besorgniserregenden Trend: Immer mehr Schadsoftware-Autoren setzen auf Anonymisierungsnetzwerke, um klassische Sicherheitsbarrieren zu umgehen.

de | wissenschaft | 69593769 |