CryptoBandits: Microsoft warnt vor USB-Wurm für Krypto-Nutzer
22.06.2026 - 11:46:46 | boerse-global.de
Der als Trojan:Win32/CryptoBandits.A identifizierte USB-Wurm zielt gezielt auf Nutzer von Kryptowährungen ab und ist seit Februar 2026 aktiv.
Infektion über manipulierte Dateiverknüpfungen
Die Verbreitung läuft primär über infizierte USB-Sticks. Der Wurm nutzt manipulierte .lnk-Dateien, die echte Dokumente verstecken und stattdessen Schadcode ausführen. Öffnet ein Nutzer die vermeintliche Datei, aktiviert sich die Malware.
Anzeige: Microsoft warnt vor dem USB-Wurm CryptoBandits, der Wallet-Adressen in der Zwischenablage austauscht. Schützen Sie Ihr Krypto-Vermögen mit der Checkliste aus diesem Report. Jetzt kostenlosen Sicherheits-Report anfordern
Einmal auf einem System aktiv, kopiert sich die Software automatisch auf neu angeschlossene USB-Geräte. Zur Sicherstellung der Persistenz nutzt sie den Windows Task Scheduler. Von dort aus überwacht sie das System und blockiert unter Umständen Sicherheitsmaßnahmen.
Automatisierter Austausch von Wallet-Adressen
Kern der Schadfunktion ist ein sogenannter „Clipper“. Er scannt die Zwischenablage alle 500 Millisekunden nach Krypto-Wallet-Adressen für Bitcoin, Ethereum, Tron oder Monero. Erkennt das Programm eine solche Adresse, ersetzt es sie unbemerkt durch eine Adresse der Angreifer. Der Nutzer sendet seine Zahlung dann direkt an die Hintermänner.
Zusätzlich identifiziert die Malware BIP39-Seed-Phrasen mit 12 oder 24 Wörtern sowie Private Keys. Diese Informationen ermöglichen den vollständigen Zugriff auf die Wallets der Opfer.
Verdeckte Kommunikation über Tor
CryptoBandits verschleiert die Kommunikation mit den Befehlsservern (C2) massiv. Statt einer direkten Verbindung nutzt die Schadsoftware einen lokalen Tor-Client (ugate.exe) und einen SOCKS5-Proxy auf Port 9050. Das erschwert die Nachverfolgung des Datenverkehrs erheblich.
Über diesen Kanal überträgt die Malware nicht nur gestohlene Zugangsdaten. Sie erstellt zudem alle zehn Sekunden bis zu fünf Screenshots des infizierten Systems. Die Architektur erlaubt auch die Fernausführung von Code mittels JavaScript-Befehlen.
Anzeige: Ihre Seed-Phrase und Private Keys sind im Visier – CryptoBandits scannt alle 500 Millisekunden die Zwischenablage. Erfahren Sie, wie Sie die Malware erkennen und Ihre Wallets sichern. Sicherheits-Report jetzt herunterladen
Empfehlungen für Unternehmen und Privatanwender
Eine Infektion lässt sich durch verdächtige Prozessaktivitäten erkennen. Microsoft empfiehlt die Überwachung von Programmen wie wscript.exe, cscript.exe und PowerShell-Aktivitäten sowie ungewöhnliche Verbindungen über Port 9050.
Als Prävention sollten Nutzer die AutoPlay-Funktion für USB-Laufwerke deaktivieren und die Ausführung von Dateien direkt von externen Datenträgern einschränken. Krypto-Nutzer sollten Wallet-Adressen vor jeder Transaktion manuell abgleichen. Und: Vorsicht bei unbekannten USB-Geräten.
