Команда Microsoft Defender Security Research hat eine detaillierte Analyse veröffentlicht einer Kampagne eines Krypto-Clippers für Windows, der wurmähnliche Verbreitung über USB-Laufwerke, die Weiterleitung des Datenverkehrs über einen eingebetteten Tor-Client und den Austausch von Kryptowährungsadressen in der Zwischenablage kombiniert. Nach Angaben von Microsoft ist die Kampagne vermutlich seit Februar 2026 aktiv. Die Bedrohung betrifft alle Windows-Nutzenden, die mit Kryptowährungs-Wallets arbeiten, und ist bemerkenswert, weil sie einen finanziell motivierten Stealer in eine vollwertige, leichtgewichtige Backdoor mit der Möglichkeit zur entfernten Codeausführung verwandelt.
Цепочка заражения: от USB до Tor
Der initiale Angriffsvektor ist eine bösartige Windows Shortcut (LNK)-Datei, die über USB-Laufwerke verbreitet wird. Beim Öffnen der Verknüpfung startet eine Wurmkomponente, die prüft, ob das System bereits infiziert ist, und die Nutzlast nur dann von einem entfernten Server nachlädt, wenn keine frühere Infektion vorliegt.
Der Wurm setzt auf einen ausgeklügelten Social-Engineering-Ansatz auf Dateisystemebene: Er scannt das USB-Gerät nach Dokumenten gängiger Formate (DOC, XLSX, PDF), blendet die Originaldateien aus und legt an ihrer Stelle LNK-Verknüpfungen mit denselben Namen an. Die Nutzerin oder der Nutzer glaubt, ein gewöhnliches Dokument zu öffnen, startet dabei jedoch den Schadcode. Parallel dazu verbreitet sich der Wurm auf andere angeschlossene USB-Laufwerke und erstellt geplante Aufgaben, um die Persistenz beider Komponenten — des Wurms und des Stealers — sicherzustellen.
Архитектура клиппера: скриптовый движок вместо бинарного имплантата
Die von den Autoren der Malware gewählte Architektur verdient besondere Beachtung. Der Clipper nutzt WScript und ActiveXObject für die Interaktion mit dem Betriebssystem — ein Ansatz, der einen Verzicht auf einen traditionellen Installer ermöglicht und die Wahrscheinlichkeit reduziert, durch statische Antiviren-Signaturen entdeckt zu werden. Anstatt auf eine offen erreichbare IP-Infrastruktur des Command-and-Control-Servers zuzugreifen, startet die Malware einen portablen Client Tor und leitet den gesamten Traffic über einen lokalen SOCKS5-Proxy zu einem Hidden Service (.onion) um.
Bemerkenswert ist auch der Mechanismus zur Analyse-Evasion: Die Malware beendet ihre Ausführung, wenn unter den aktiven Prozessen der Task Manager erkannt wird. Diese einfache, aber wirksame Prüfroutine zielt darauf ab, dass ein Analyst oder eine misstrauische Nutzerin bzw. ein misstrauischer Nutzer, der den Task-Manager öffnet, keine verdächtige Aktivität bemerkt.
Финальная стадия: от стилера к бэкдору
In der letzten Phase startet die Malware eine umbenannte Tor-Binärdatei in einem versteckten Fenster, erzeugt eine eindeutige Kennung für das Opfer und registriert diese beim Command-and-Control-Server. Anschließend beginnt ein kontinuierlicher Arbeitszyklus mit zwei parallelen Aufgaben:
- Überwachung der Zwischenablage alle ~500 Millisekunden — Extraktion von Seed-Phrasen, privaten Schlüsseln und Austausch kopierter Adressen von Kryptowallets durch Adressen der Angreifenden
- Abfrage des Command-and-Control-Servers zum Empfang von Anweisungen, einschließlich der Möglichkeit, beliebigen Code über den Befehl EVAL auszuführen
Gerade das Vorhandensein des Befehls EVAL macht aus dem finanziell motivierten Clipper eine vollwertige Backdoor. Wie Microsoft hervorhebt, „vermischt die Malware Datendiebstahl mit Remote-Code-Ausführung“, was es den Betreibenden ermöglicht, die Funktionalität jederzeit zu erweitern — von der Exfiltration von Screenshots (die bereits implementiert ist) bis hin zum Nachladen zusätzlicher Module.
Оценка воздействия
Am stärksten gefährdet sind Nutzende und Organisationen, die auf Windows-Systemen mit Kryptowährungswerten arbeiten, insbesondere in Umgebungen, in denen USB-Laufwerke zum Dateiaustausch eingesetzt werden. Die wurmähnliche Verbreitung über USB macht die Bedrohung besonders gefährlich für Organisationen mit unzureichender Kontrolle über Wechseldatenträger — etwa Unternehmensumgebungen mit gemeinsam genutzten Workstations, Bildungseinrichtungen und kleine Unternehmen.
Die Abfragefrequenz der Zwischenablage (alle 500 ms) stellt praktisch sicher, dass eine kopierte Wallet-Adresse abgefangen wird, bevor die Nutzerin oder der Nutzer sie einfügen kann. Gleichzeitig erschwert die Nutzung von Tor für die Kommunikation mit dem Command-and-Control-Server die netzwerkbasierte Erkennung und Blockierung auf Perimeterebene erheblich.
Рекомендации по защите
Microsoft empfiehlt, verhaltensbasierte Erkennung gegenüber statischen Signaturen zu priorisieren. Konkrete Maßnahmen:
- AutoRun/AutoPlay deaktivieren für alle Wechseldatenträger
- Ausführung von LNK-Dateien blockieren von Wechseldatenträgern mittels Gruppenrichtlinien (GPO)
- Verwendung von wscript.exe und cscript.exe einschränken — Ausführung für Nutzende untersagen, die Skript-Engines nicht für ihre Arbeit benötigen
- Erkennung konfigurieren für das Starten von curl, cmd.exe, PowerShell oder untypischen ausführbaren Dateien über WScript, CScript und ähnliche Skript-Engines
- Verhalten überwachen, das mit Zwischenablage und Bildschirmaufnahmen zusammenhängt, auf Geräten, die Finanztransaktionen verarbeiten
- Auftreten von Tor-Prozessen überwachen oder untypische SOCKS5-Proxys auf Workstations erkennen
Organisationen, die mit Kryptowährungswerten arbeiten, sollten umgehend ihre Richtlinien zu Wechseldatenträgern überprüfen und sicherstellen, dass AutoRun deaktiviert ist und die Ausführung von Skripten über WSH auf allen Workstations eingeschränkt wird. Angesichts der Tatsache, dass die Malware aktiv ausgenutzt wird und sich über den EVAL-Mechanismus weiterentwickeln kann, vergrößert jede Verzögerung bei der Umsetzung dieser Maßnahmen direkt das Zeitfenster für den Diebstahl von Krypto-Assets und die Kompromittierung von Systemen.
