Sicherheitsforscher haben eine Kampagne mit kryptowährungsstehlender Malware aufgedeckt, die sich über infizierte USB-Laufwerke und bösartige Windows-Verknüpfungsdateien verbreitet. Die Operation richtet sich gegen Nutzer von Kryptowährungen, indem sie Aktivitäten in der Zwischenablage überwacht und Wallet-Adressen austauscht, bevor die Opfer ihre Transaktionen abschließen.

Forscher von Microsoft verfolgen die Kampagne seit Februar 2026. Die Malware kombiniert wurmähnliche Verbreitung, Diebstahl von Zwischenablagedaten, Remote-Befehlsausführung und Tor-basierte Kommunikation, um einer Entdeckung zu entgehen und den Zugriff auf infizierte Systeme aufrechtzuerhalten.

Im Gegensatz zu vielen herkömmlichen Kryptodieben beschränkt sich diese Bedrohung nicht darauf, Wallet-Adressen auszutauschen. Die Malware erstellt außerdem Screenshots, kommuniziert über das Tor-Netzwerk und ermöglicht Angreifern die Ausführung zusätzlicher Befehle auf kompromittierten Geräten.

Bösartige Verknüpfungsdateien treiben die Infektionen voran

Der Angriff beginnt, wenn Nutzer bösartige Windows-Verknüpfungsdateien öffnen, die auf infizierten USB-Geräten gespeichert sind. Diese Dateien wirken legitim, starten jedoch heimlich Skripte, die Malware-Komponenten auf dem Computer des Opfers installieren.

Forscher berichten, dass die Malware zwei Hauptkomponenten bereitstellt. Eine Komponente konzentriert sich auf die Verbreitung und infiziert weitere USB-Laufwerke. Die zweite Komponente stiehlt kryptowährungsbezogene Informationen und überwacht die Zwischenablage.

Die Wurmkomponente hilft der Malware, sich zwischen Systemen zu verbreiten, die Wechselmedien gemeinsam nutzen. Sobald Nutzer infizierte USB-Geräte an andere Computer anschließen, erhält die Kampagne neue Möglichkeiten, weitere Opfer zu kompromittieren.

Malware kapert Kryptowährungstransaktionen

Nach der Infektion eines Geräts überwacht die Malware kontinuierlich die Zwischenablage auf Wallet-Adressen, Seed-Phrasen, private Schlüssel und andere wertvolle Informationen.

Wenn ein Opfer vor einer Überweisung eine Wallet-Adresse kopiert, kann die Malware diese durch eine von den Angreifern kontrollierte Adresse ersetzen. Überprüft der Nutzer die Zieladresse nicht, wird die Kryptowährung direkt an den Bedrohungsakteur gesendet.

Forscher beobachteten zudem Funktionen zur Erstellung von Screenshots und zum zusätzlichen Datendiebstahl. Diese Funktionen verschaffen den Angreifern Einblicke in die Aktivitäten der Opfer und helfen ihnen, weitere Informationen über kompromittierte Systeme zu sammeln.

Das Tor-Netzwerk hilft Angreifern, ihre Aktivitäten zu verbergen

Die Kampagne verwendet einen integrierten Tor-Client, um die Kommunikation zwischen infizierten Systemen und den Command-and-Control-Servern der Angreifer zu verschleiern. Die Malware leitet den Datenverkehr über einen lokalen SOCKS5-Proxy und verbindet sich mit versteckten Diensten im Tor-Netzwerk.

Dieser Ansatz erschwert die Nachverfolgung der Infrastruktur und hilft den Angreifern, traditionelle netzwerkbasierte Erkennungsmethoden zu umgehen. Die Forscher stellten fest, dass die Malware stark auf skriptbasierte Komponenten und die Funktionalität von Windows Script Host setzt, um ihre Operationen durchzuführen.

Durch die Kombination aus USB-basierter Verbreitung, Tor-Kommunikation und Kryptowährungsdiebstahl haben die Betreiber eine flexible Plattform geschaffen, die sich weit verbreiten kann und gleichzeitig schwer nachzuverfolgen ist.

Wie Unternehmen das Risiko reduzieren können

Sicherheitsteams sollten Nutzer über die Risiken unbekannter USB-Geräte und verdächtiger Verknüpfungsdateien aufklären. Unternehmen sollten außerdem ihre Systeme auf ungewöhnliche Skriptaktivitäten, nicht autorisierte geplante Aufgaben und unerwartete Tor-bezogene Prozesse überwachen.

Forscher empfehlen, Wechselmedien vor der Nutzung zu scannen und den Zugriff auf nicht vertrauenswürdige USB-Geräte nach Möglichkeit einzuschränken. Nutzer, die mit Kryptowährungen arbeiten, sollten Wallet-Adressen stets überprüfen, bevor sie Transaktionen freigeben.

Fazit

Die Kampagne mit USB-basierter Kryptomalware zeigt, wie Angreifer ältere Infektionstechniken an moderne Cyberkriminalität anpassen. Durch die Kombination aus bösartigen Verknüpfungsdateien, USB-Verbreitung, Tor-Kommunikation und Diebstahl von Zwischenablagedaten schafft die Malware zahlreiche Möglichkeiten, Kryptowährungen zu stehlen und weitere Systeme zu kompromittieren. Unternehmen und Privatpersonen sollten beim Umgang mit Wechselmedien vorsichtig sein und Kryptowährungstransaktionen stets überprüfen, bevor sie Gelder versenden.


0 Kommentare zu „USB-basierte Kryptomalware verbreitet sich über Windows-Verknüpfungen“