Microsoft hat Schadsoftware entdeckt, die Kryptotransfers über USB-Sticks abfängt. So funktioniert sie.

Microsoft Threat Intelligence gab am 17. Juni bekannt, dass es seit Februar 2026 eine Windows-Malware-Kampagne verfolgt, die sich über infizierte USB-Laufwerke verbreitet und unbemerkt Kryptowährungstransfers abfängt.

Die Schadsoftware, die von Microsoft Defender Antivirus als Trojan:Win32/CryptoBandits erkannt wird, überwacht die Zwischenablage des Opfers etwa alle 500 Millisekunden und ersetzt kopierte Wallet-Adressen durch vom Angreifer kontrollierte Adressen, bevor der Benutzer sie einfügt. Die Transaktion wird auf dem Bildschirm des Opfers normal abgeschlossen. Die Gelder fließen jedoch an einen völlig anderen Ort.

Die Infektionsmethode ist altbekannt, aber die Ausführung ist für eine normalerweise einfache Malware-Klasse ungewöhnlich ausgefeilt.

Der Angriff beginnt, sobald ein sauberer USB-Stick an einen bereits infizierten Rechner angeschlossen wird. Der Wurm durchsucht den Stick nach gängigen Dateitypen wie Word-Dokumenten, Excel-Tabellen und PDFs, versteckt die Originale und ersetzt sie durch schädliche Verknüpfungsdateien mit identischen Namen und Symbolen.

Wird der USB-Stick später an einen anderen Computer angeschlossen und das Opfer klickt auf ein Dokument, das wie sein eigenes aussieht, verarbeitet der Windows Explorer automatisch die schädliche .lnk-Datei, und die Schadsoftware wird innerhalb von Sekunden ausgeführt. Kein Download, keine Phishing-E-Mail, kein verdächtiger Link. Nur ein völlig normal aussehender USB-Stick.

Sobald die Schadsoftware auf einem neuen Rechner aktiv ist, führt sie zwei Prozesse gleichzeitig aus. Sie überwacht die Zwischenablage nach wertvollen Daten und wartet auf das nächste saubere USB-Laufwerk, um den Verbreitungszyklus zu wiederholen.

CryptoBandits zielt auf drei spezifische Kategorien von Zwischenablagedaten ab, und das Verständnis jeder einzelnen ist wichtig, um Ihr eigenes Risiko einzuschätzen:

• Seed-Phrasen und private Schlüssel. Wenn Sie aus irgendeinem Grund, selbst nur kurz, eine Wallet-Seed-Phrase oder einen privaten Schlüssel kopieren, erfasst die Schadsoftware diese und überträgt sie über das Tor-Netzwerk an den Server des Angreifers.

• Screenshots. Die Malware erstellt fünf Screenshots im Abstand von zehn Sekunden, sobald sie relevante Aktivitäten in der Zwischenablage erkennt. Dadurch wird der visuelle Kontext erfasst, anhand dessen ein Angreifer bestätigen kann, was gestohlen wurde.

• Empfänger-Wallet-Adressen. Dies ist die gefährlichste Funktion. Wenn Sie eine Zieladresse kopieren, um Geld zu senden, ersetzt die Schadsoftware diese unbemerkt durch eine vom Angreifer kontrollierte Adresse, bevor Sie sie einfügen. Sie sehen Ihre eigene Adresse. Sie bestätigen die Transaktion. Das Geld geht an den Angreifer.

Die Analyse von Microsoft ergab, dass die Malware Windows Script Host und ActiveX-gesteuerte Logik verwendet, um einen mitgelieferten Tor-Proxy zu starten und mit einem versteckten Command-and-Control-Server zu kommunizieren.

Es richtet zudem geplante Aufgaben ein, um dauerhaft aktiv zu bleiben, sodass es einen Neustart übersteht und die Überwachung unbegrenzt fortsetzt. Sendet der Server des Angreifers bestimmte Befehle zurück, kann die Malware zur Laufzeit zusätzlichen Code ausführen und verfügt somit über Funktionen, die über die eines typischen Tools zum Diebstahl von Wallet-Daten hinausgehen.

Aus den von uns im Rahmen unserer Sicherheitsanalyse untersuchten Vorfällen geht hervor, dass gängige Malware zum Auslesen der Zwischenablage bereits seit Jahren existiert und relativ leicht zu erkennen ist, da sie typischerweise eine ständige Internetverbindung zu einem festen Server benötigt. CryptoBandits leitet die gesamte Kommunikation über Tor, wodurch die Kommando- und Kontrollinfrastruktur anonymisiert und die netzwerkbasierte Erkennung deutlich erschwert wird.

Die wurmartige Verbreitung über USB stellt ebenfalls eine bedeutende Eskalation dar. Moderne Malware verbreitet sich meist über Phishing-E-Mails, schädliche Werbung oder manipulierte Downloads. Die physische Verbreitung über Wechseldatenträger umgeht E-Mail-Filter, Browserwarnungen und die meisten Endpoint-Detection-Tools, die auf netzwerkbasierte Bedrohungen ausgelegt sind. Das Sicherheitsunternehmen NS3.AI bestätigte, dass Nutzer seit Februar betroffen sind, und Binance teilte die Warnung von Microsoft nach deren Bekanntwerden direkt mit seinen Nutzern.

Die von Microsoft empfohlenen Gegenmaßnahmen sind spezifisch und sollten unabhängig davon, ob Ihnen etwas Ungewöhnliches aufgefallen ist, sofort umgesetzt werden:

• Deaktivieren Sie AutoRun und AutoPlay für alle Wechselmedien auf jedem Windows-Rechner, den Sie zum Trading verwenden.

• Blockieren Sie die Ausführung von .lnk-Dateien von USB-Laufwerken auf Systemrichtlinienebene, sofern Ihr Betriebssystem dies zulässt.

• Kopieren Sie niemals eine Wallet-Adresse und fügen Sie sie ein, ohne jedes Mal visuell zu überprüfen, ob die ersten und letzten Zeichen mit Ihren Erwartungen übereinstimmen.

• Vermeiden Sie es unbedingt, Seed-Phrasen oder private Schlüssel in die Zwischenablage zu kopieren. Geben Sie sie direkt ein oder verwenden Sie eine Hardware-Wallet, die den Schlüssel niemals dem Betriebssystem zugänglich macht.

• Überprüfen Sie Ihre Systeme anhand der von Microsoft in seinem Sicherheitsblog veröffentlichten Indikatoren für Sicherheitslücken, wenn Sie seit Februar unbekannte USB-Laufwerke an einem Trading-Rechner verwendet haben.

Die regelmäßige Überprüfung der Adresse ist hier der wichtigste Schutzmechanismus. Das gesamte Vorgehen der Malware beruht darauf, dass das Opfer darauf vertraut, dass die kopierte Adresse auch tatsächlich eingefügt wird. Ein Händler, der vor der Bestätigung einer Überweisung die ersten und letzten vier Zeichen jeder Zieladresse manuell überprüft, vereitelt diesen Angriff, unabhängig davon, ob die Malware auf seinem System vorhanden ist.

Finanzierte Trader verbringen viel Zeit damit, über Verlustlimits , Positionsgrößen und Marktrisiken nachzudenken. Die CryptoBandits-Kampagne erinnert daran, dass auch der Computer, der Ihre Trades ausführt, Teil Ihres Risikobereichs ist.

Ein Clipboard-Hijacking kümmert sich nicht um Ihre Handelsstrategie. Es ignoriert Stop-Loss-Orders und tägliche Verlustlimits. Es wartet einfach auf eine Überweisung und leitet sie um. Unsere Beobachtungen der in diesem Jahr verfolgten Sicherheitsvorfälle zeigen, dass Händler, die diese Art von Verlust vollständig vermeiden, nicht zu den technisch versiertesten gehören.

Sie sind diejenigen, die die grundlegende Überprüfung als unverzichtbare Gewohnheit betrachten, genauso wie das Risikomanagement bei jedem Handel. Überprüfen Sie jede Adresse. Hinterfragen Sie jeden unbekannten USB-Stick. Die Überprüfung dauert nur Sekunden. Die Kosten der Nichtüberprüfung sind unbegrenzt.