Crypto Clipper Windows-Angriffskampagne
Sicherheitsforscher haben Details einer ausgeklügelten, auf Windows basierenden Kryptowährungs-Clipper-Operation enthüllt, die seit Februar 2026 aktiv ist. Die Kampagne verwendet Malware zur Überwachung der Zwischenablage, die sich selbst verbreiten kann, und nutzt das Tor-Anonymisierungsnetzwerk, um ihre Kommunikationsinfrastruktur zu verschleiern.
Anders als herkömmliche Malware, die auf Standardinstallationsprogramme oder öffentlich zugängliche Command-and-Control-Server (C2-Server) setzt, verwendet diese Bedrohung einen portablen Tor-Client und leitet den gesamten Datenverkehr über einen lokalen SOCKS5-Proxy. Durch die Kombination von Kryptowährungsdiebstahl, Datenexfiltration und Remote-Codeausführung fungiert die Malware nicht nur als Clipper, sondern auch als schlanke Hintertür.
Inhaltsverzeichnis
Funktionsweise der Clipper-Malware
Die Clipper-Malware überwacht unbemerkt die Zwischenablage des Opfers und fängt sensible, in den Arbeitsspeicher kopierte Informationen ab. Ihr Hauptziel ist die Manipulation von Kryptowährungstransaktionen. Dazu identifiziert sie Wallet-Adressen bekannter Blockchain-Formate und ersetzt diese durch vom Angreifer kontrollierte Alternativen. So können Gelder, die für rechtmäßige Empfänger bestimmt sind, ohne Wissen des Opfers umgeleitet werden.
Diese Kampagne nutzt Windows Script Host und ActiveX-basierte Funktionen, um einen eingebetteten Tor-Proxy zu starten und mit einem versteckten C2-Server zu kommunizieren. Die Schadsoftware überwacht kontinuierlich die Zwischenablage, erstellt Screenshots, stiehlt Informationen zu Kryptowährungen und tauscht Wallet-Adressen in Echtzeit aus.
USB-basierte Infektionskette und Wurmfunktionalität
Der Angriff beginnt mit der Verbreitung schädlicher Windows-Verknüpfungsdateien (LNK-Dateien) über USB-Speichergeräte. Öffnet ein Opfer eine dieser Verknüpfungen, wird eine Wurmkomponente aktiviert. Die Schadsoftware prüft zunächst, ob das System bereits infiziert ist, und lädt die restliche Schadsoftware nur dann herunter, wenn keine vorherige Infektion festgestellt wird.
Die LNK-Payload durchsucht angeschlossene USB-Geräte aktiv nach gängigen Dokumentformaten wie DOC, XLSX und PDF. Gefundene Dateien werden versteckt und durch schädliche Verknüpfungsdateien mit identischen Namen ersetzt. Diese Täuschungsmethode erhöht die Wahrscheinlichkeit, dass Benutzer die Schadsoftware unwissentlich ausführen, während sie versuchen, ein scheinbar legitimes Dokument zu öffnen.
Über die anfängliche Kompromittierung hinaus ist der Wurm für die Verbreitung der Infektion auf weitere, nicht infizierte USB-Geräte verantwortlich. Er etabliert zudem Persistenz, indem er geplante Aufgaben sowohl für den Wurm als auch für die Stealer-Komponenten erstellt.
Fortgeschrittene Ausweich- und anhaltende Befehlsausführung
Die Clipper-Komponente nutzt WScript und ActiveXObject, um direkt mit dem Betriebssystem zu interagieren. Um die Entdeckungswahrscheinlichkeit zu verringern, überprüft die Malware aktive Prozesse und beendet sich selbst, falls der Task-Manager ausgeführt wird.
In der letzten Ausführungsphase wird eine umbenannte Tor-Datei in einem versteckten Fenster gestartet. Die Schadsoftware generiert anschließend eine eindeutige Opfer-ID und registriert diese bei ihrer Remote-Infrastruktur. Nach der Registrierung läuft sie in einer Endlosschleife, in der sie den C2-Server etwa alle 500 Millisekunden nach Befehlen abfragt und gleichzeitig den Inhalt der Zwischenablage überwacht.
Zusätzlich zum Abgreifen von Daten aus Kryptowährungs-Wallets, Seed-Phrasen und privaten Schlüsseln erstellt die Malware Screenshots und überträgt diese über das Tor-Netzwerk. Antwortet der C2-Server mit einem EVAL-Befehl, wird vom Angreifer bereitgestellter Code dynamisch auf dem kompromittierten System ausgeführt, wodurch die Fähigkeiten der Bedrohung erheblich erweitert werden.
Wichtige Indikatoren und defensive Empfehlungen
Sicherheitsteams wird empfohlen, sich auf Verhaltenserkennungsmethoden zu konzentrieren, anstatt sich ausschließlich auf statische Malware-Signaturen zu verlassen. Besondere Aufmerksamkeit sollte verdächtigen PowerShell-basierten Bildschirmaufzeichnungen und der ungewöhnlichen Verwendung von Windows-Skript-Engines wie WScript oder CScript zum Starten von Hilfsprogrammen wie curl, cmd.exe, PowerShell oder anderen unerwarteten ausführbaren Dateien gelten.
Zu den empfohlenen Schutzmaßnahmen gehören:
- Die AutoRun- und AutoPlay-Funktionalität für alle Wechselmedien wird deaktiviert, die Ausführung von LNK-Dateien von USB-Geräten wird über Gruppenrichtlinienobjekte (GPOs) blockiert und die unnötige Verwendung von wscript.exe und cscript.exe wird eingeschränkt.
- Überwachungssysteme, die Finanz- oder Kryptowährungstransaktionen abwickeln, auf ungewöhnliche Aktivitäten in der Zwischenablage, unautorisierte Bildschirmaufnahmen und verdächtige Tor-bezogene Netzwerkkommunikation.
Warum diese Bedrohung so besonders ist
Diese Kampagne verdeutlicht die zunehmende Raffinesse finanziell motivierter Malware. Durch die Kombination von USB-basierter Wurmverbreitung, Zwischenablage-Hijacking, Tor-verschleierter Kommunikation, Screenshot-Exfiltration und Remote-Code-Ausführung in einem einzigen Toolkit haben die Angreifer eine vielseitige Bedrohung geschaffen, die sowohl Kryptowährungen stehlen als auch langfristigen Zugriff auf infizierte Systeme ermöglichen kann. Die Nutzung einer Hidden-Service-Infrastruktur erschwert die Erkennung und Bekämpfung zusätzlich, wodurch die proaktive Verhaltensüberwachung zu einer entscheidenden Verteidigungsstrategie wird.
