CryptoBandits: Trojaner stiehlt Bitcoin-Adressen über USB-Stick
24.06.2026 - 13:27:21 | boerse-global.de
Seit Februar ist der Trojaner „CryptoBandits“ aktiv und zielt gezielt auf Nutzer von Kryptowährungen ab.
Die Malware kombiniert klassische Wurm-Taktiken mit modernen Verschlüsselungsmethoden. Microsoft führt sie unter dem Namen Trojan:Win32/CryptoBandits.A.
Festplatte kaputt oder Windows streikt durch Malware? So retten Sie Ihren PC im Ernstfall mit einem Boot?Stick. Kostenlosen Windows-11-Notfall-Guide jetzt herunterladen
Infektion über manipulierte USB-Laufwerke
Die Verbreitung läuft primär über physische Datenträger. Der Wurm nutzt präparierte LNK-Dateien auf USB-Sticks. Sobald ein infiziertes Laufwerk angeschlossen wird, versteckt die Schadsoftware die Originaldateien des Nutzers und ersetzt sie durch manipulierte Verknüpfungen.
Die täuschend echt aussehenden Ordner oder Dokumente führen beim Klick den Trojaner im Hintergrund aus.
CryptoBandits agiert als sogenannter „Clipper“. Alle 500 Millisekunden überwacht er die Zwischenablage des Systems. Findet das Programm eine Zeichenfolge, die einer Wallet-Adresse für Bitcoin, Monero oder Tron entspricht, ersetzt es diese unbemerkt durch eine Adresse der Angreifer.
Neben der Manipulation von Transaktionszielen zielt die Software auch auf den Diebstahl von Seed-Phrasen und privaten Schlüsseln ab.
Tarnung durch das Tor-Netzwerk
Ein wesentliches Merkmal: CryptoBandits nutzt das Tor-Netzwerk für die Command-and-Control-Kommunikation. Über eine integrierte Komponente namens ugate.exe baut die Malware eine Verbindung zum Anonymisierungsnetzwerk auf.
So nehmen die Hintermänner Anweisungen entgegen und übermitteln gestohlene Daten.
Wenn Schadsoftware wie Trojaner das System instabil macht, können Sie viele Fehler ab sofort selbst beheben. Dieser kostenlose Report zeigt Ihnen, wie Sie Ihr System ohne teuren IT-Techniker wieder sicher zum Laufen bringen. Gratis-Report: Erste Hilfe für Windows 11 sichern
Der Trojaner verfügt über weitreichende Spionagefunktionen. Alle zehn Sekunden erstellt er Screenshots des infizierten Systems. Durch EVAL-Befehle können die Angreifer zudem aus der Ferne Programmcode ausführen — die Malware wird so zur Backdoor.
Schutzmaßnahmen und Branchenkontext
Microsoft empfiehlt, die AutoPlay-Funktion für externe Laufwerke zu deaktivieren und die Ausführung von LNK-Dateien von USB-Quellen zu blockieren. Wallet-Adressen sollten vor jeder Transaktion auf einem vertrauenswürdigen Display geprüft werden. Selbst Hardware-Wallets schützen nicht vor einer Manipulation der Adresse in der Zwischenablage des Host-Rechners.
Die Entdeckung fällt in eine Zeit erhöhter Aktivität von Computerwürmern. In den letzten Monaten wurden Kampagnen wie „GlassWorm“ beobachtet, die sich über Entwicklerplattformen verbreiten, oder „Webworm“ — ein Akteur mit vermuteter Verbindung zu China.
Parallel läuft heute eine wichtige Frist für die Systemsicherheit ab: Ältere Secure-Boot-Zertifikate von Microsoft verlieren ihre Gültigkeit. Administratoren müssen ihre Systeme aktualisieren, um die Boot-Fähigkeit und künftige Sicherheitsupdates zu gewährleisten. Microsoft hat bereits obligatorische Updates für Windows 11 gestartet.
