Crypto, Clipper

Crypto Clipper: Neuer Wurm stiehlt Kryptoguthaben über USB-Sticks

19.06.2026 - 19:26:58 | boerse-global.de

Microsoft warnt vor einem selbstverbreitenden Wurm, der Krypto-Wallet-Adressen in der Zwischenablage manipuliert und so Guthaben stiehlt.

Crypto Clipper Wurm: Neue Malware stiehlt Kryptoguthaben via USB
Crypto - Nahaufnahme von USB-Sticks, die in einem Computer stecken, mit einem grünen, wurmähnlichen digitalen Element, das Datendiebstahl symbolisiert. 19.06.2026 - Bild: über boerse-global.de

Ein selbstverbreitender Wurm kapert Windows-Rechner und stiehlt Kryptoguthaben – die Angreifer werden immer raffinierter.

Sicherheitsforscher von Microsoft haben einen gefährlichen neuen Wurm entdeckt, der sich über USB-Sticks verbreitet und gezielt Kryptowährungen stiehlt. Die Malware mit dem Namen „Crypto Clipper" (von Microsoft als Trojan:Win32/CryptoBandits.A eingestuft) ist seit Februar 2026 in aktiven Kampagnen unterwegs. Das Besondere: Der Schädling verbreitet sich eigenständig und manipuliert die Zwischenablage des Systems.

So funktioniert der digitale Diebstahl

Der Wurm nutzt manipulierte Verknüpfungsdateien (.lnk) auf USB-Sticks, um in das System einzudringen. Einmal aktiv, arbeitet er als sogenannter „Clipper" – eine Schadsoftware, die die Zwischenablage überwacht und verändert.

Anzeige

Da sich Schadsoftware wie der Crypto Clipper oft unbemerkt über Wechselmedien verbreitet, ist ein sauberer Rettungs-Stick für die Systemwiederherstellung im Ernstfall unerlässlich. Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen sicheren Windows-11-Boot-Stick erstellen und Ihren PC im Notfall retten. Kostenlosen Leitfaden zum Windows-11-Boot-Stick anfordern

Die Microsoft-Experten beschreiben einen erschreckend präzisen Ablauf: Alle 500 Millisekunden scannt der Trojaner die Zwischenablage nach Krypto-Wallet-Adressen, privaten Schlüsseln für Bitcoin und Ethereum sowie nach 12- oder 24-Wort-Wiederherstellungsphrasen. Kopiert ein Nutzer eine Wallet-Adresse, ersetzt der Wurm diese blitzschnell durch eine Adresse der Angreifer. Das Opfer überweist ahnungslos an die falsche Stelle.

Doch damit nicht genug. Der Wurm verfügt über weitere gefährliche Fähigkeiten:

  • Bildschirmüberwachung: Alle zehn Sekunden macht er fünf Screenshots, um sensible Daten zu sammeln
  • Verschlüsselte Kommunikation: Ein integrierter Tor-Client (oft als „ugate.exe" getarnt) und ein SOCKS5-Proxy verschleiern die Verbindung zu den Steuerungsservern
  • Fernzugriff: Die Hintertür erlaubt Angreifern, beliebigen Code auszuführen oder weitere Schadsoftware zu installieren

Microsoft empfiehlt Unternehmen, die AutoRun-Funktion zu deaktivieren und die Ausführung von .lnk-Dateien von externen USB-Medien zu blockieren.

DragonForce missbraucht Microsoft-Infrastruktur

Parallel dazu haben Sicherheitsforscher eine ausgeklügelte Kampagne der Ransomware-Gruppe DragonForce aufgedeckt. Die Angreifer nutzten legitime Microsoft Teams Relay-Infrastruktur, um ihre Aktivitäten zu tarnen. Der Angriff auf einen US-Dienstleister begann im Dezember 2025 und dauerte rund zwei Monate.

Die Hacker setzten eine Go-basierte Hintertür namens Backdoor.Turn ein. Diese forderte anonyme Teams-Besucher-Tokens an, um den Datenverkehr über Microsofts TURN-Relays (Traversal Using Relays around NAT) zu leiten. Durch die Nutzung legitimer Microsoft-Infrastruktur und QUIC-Sitzungen tarnte sich der schädliche Traffic als normale Unternehmenskommunikation.

Zusätzlich nutzte die Gruppe die „Bring Your Own Vulnerable Driver"-Technik (BYOVD) – sie verwendete legitime, aber angreifbare Treiber von Drittanbietern wie Huawei, um Endgeräte-Schutzmaßnahmen zu umgehen.

Anzeige

Professionelle Angriffe auf die IT-Infrastruktur wie durch die DragonForce-Gruppe zeigen, dass Unternehmen ihre Schutzmaßnahmen kontinuierlich an neue Bedrohungslagen anpassen müssen. Dieses kostenlose E-Book unterstützt Verantwortliche dabei, Sicherheitslücken zu schließen und die IT-Sicherheit proaktiv zu stärken. Gratis-E-Book: Cyber-Sicherheit für Unternehmen jetzt herunterladen

Neue SprySOCKS-Varianten entdeckt

Das Sicherheitsunternehmen ESET hat zudem zwei neue Windows-Varianten des SprySOCKS-Backdoors identifiziert. Die als WIN_DRV und WIN_PLUS bezeichneten Varianten werden einer chinesischsprachigen Spionagegruppe namens FishMonger zugeschrieben, die in der Branche auch als Earth Lusca oder Aquatic Panda bekannt ist.

Die Schadsoftware wurde in Kampagnen aus den Jahren 2023 und 2024 beobachtet und zielte auf Organisationen in Pakistan, Taiwan, Thailand und Honduras ab. Die neuen Versionen nutzen Kernel-Level-Treiber, um eine höhere Persistenz zu erreichen und der Erkennung durch Standard-Sicherheitssoftware zu entgehen.

de | wissenschaft | 69584582 |