Microsoft warnt vor CryptoBandits: Clipper-Malware mit Backdoor-Funktion nutzt Tor

Zusammenfassung

Microsoft warnt vor einer Windows-Malware namens CryptoBandits, die als Kryptowährungs-Clipper auftritt, zugleich aber eine einfache Backdoor mit Datenabfluss- und Ferncodeausführungs-Funktionen mitbringt. Laut Microsoft wird die Schadsoftware seit Februar 2026 in Angriffen eingesetzt. Sie installiert auf kompromittierten Systemen einen portablen Tor-Client und leitet die Kommunikation über einen lokalen SOCKS5-Proxy. Die Malware wird über bösartige Verknüpfungsdateien im .lnk-Format verteilt und bringt zwei Komponenten mit: einen Wurm zur Verbreitung sowie einen Clipper beziehungsweise Stealer zum Diebstahl von Wallet-Informationen. Nach Angaben von Microsoft stützt sich die Kampagne auf Windows Script Host und ActiveX-gesteuerte Logik, um den mitgelieferten Tor-Proxy zu starten und einen C&C-Server als versteckten Dienst abzufragen. Dazu kommen das hochfrequente Auslesen der Zwischenablage, der Abfluss von Bildschirmaufnahmen und der Austausch von Wallet-Adressen. Für die Verteidigung ist der Fall relevant, weil die Malware skriptbasiert arbeitet, ihre Komponenten erst zur Laufzeit entschlüsselt und die Anonymisierung über Tor gezielt nutzt, um ihre Kommunikationsinfrastruktur zu verbergen.

Nach Angaben von Microsoft verteilt sich CryptoBandits über schädliche .lnk-Dateien. Auf dem infizierten System setzt die Malware zwei Bausteine ab: einen Wurm für die weitere Verbreitung und einen Clipper/Stealer, der Informationen zu Kryptowährungs-Wallets stehlen soll.

Für die Ausbreitung durchsucht der Wurm angeschlossene USB-Geräte und erstellt zusätzliche bösartige Verknüpfungen legitimer Dateien. Außerdem kann die Malware dateibasierte Nutzlasten nachladen, die sie von Defender-Scans ausschließt.

Der Clipper selbst ist laut Microsoft als Skript umgesetzt und interagiert über WScript und ActiveXObject mit dem System. Als Abwehr gegen Analysen prüft er, ob der Task-Manager läuft. Die Persistenz erreicht die Schadsoftware über geplante Aufgaben.

Im Zentrum der Bedrohung steht nach Microsoft der mitgelieferte Tor-Client. CryptoBandits startet eine umbenannte Tor-Binärdatei, um die Command-and-Control-Kommunikation aufzubauen und das kompromittierte Gerät beim C&C zu registrieren. Anschließend geht die Malware in eine Endlosschleife über und fragt den Server alle 500 Millisekunden nach neuen Anweisungen ab.

Microsoft beschreibt den Ablauf so: „Der Clipper in dieser Kampagne stützt sich auf Windows Script Host und ActiveX-gesteuerte Logik, um einen gebündelten Tor-Proxy zu starten und einen C&C-Server als versteckten Dienst abzufragen. Er führt hochfrequenten Diebstahl aus der Zwischenablage, den Abfluss von Bildschirmaufnahmen und den Austausch von Wallet-Adressen durch.“

Die Malware kann Seed-Phrasen und private Schlüssel aus Kryptowährungs-Wallets extrahieren. Zudem ist sie in der Lage, Kryptowährungsadressen in der Zwischenablage durch von den Angreifern gelieferte Adressen zu ersetzen und diese so zu kapern.

Laut Microsoft setzt CryptoBandits auf mehrschichtige Verschleierung und entschlüsselt sämtliche Komponenten erst zur Laufzeit. Sowohl das Python-Skript für die Installation als auch die JavaScript-Nutzlasten sind demnach verschleiert.

Der Tor-Client übernimmt dabei mehr als nur die Tarnung der Kommunikation. Nach Microsofts Analyse wird der Datenverkehr über localhost:9050 geleitet, während Ziel-Domänen so aufgelöst werden, dass die Sichtbarkeit von DNS-Anfragen sinkt und der Standort der C&C-Infrastruktur verborgen bleibt.

Microsoft fasst die Bedeutung der Malware-Familie so zusammen: „Diese Malware-Familie zeigt, wie leichtgewichtige, skriptbasierte Stealer eine überproportionale Wirkung entfalten können, wenn sie mit anonymisierter Kommunikation und Aufgabensteuerung zur Laufzeit kombiniert werden.“

Microsoft warnt vor CryptoBandits: Clipper-Malware mit Backdoor-Funktion nutzt Tor

Ähnliche Artikel

Neueste Artikel