Fünfhundert Millisekunden. Genau so oft überprüft dieser Trojaner, was sich in der Zwischenablage befindet, und wartet darauf, dass ein Krypto-Nutzer eine Wallet-Adresse einfügt, um sie durch die Adresse eines Angreifers auszutauschen. Microsoft hat die Bedrohung am 17. Juni 2026 öffentlich gemacht, obwohl die Schadsoftware seit Februar aktiv war. Betroffen ist die alltäglichste Handlung im Krypto-Alltag: das einfache Kopieren und Einfügen einer Wallet-Adresse.
Der technische Name lautet Crypto Clipper; Microsoft Defender erkennt ihn als Trojan:Win32/CryptoBandits.A. Die Verbreitung erfolgt über infizierte USB-Sticks auf Windows-Systemen. Auch Binance hat eigene Nutzer gewarnt. Der Trojaner ist mehr als ein simpler Datendieb: Er kombiniert Diebstahl, wurmartige Verbreitungsfähigkeit und eine Hintertür für die Fernsteuerung.
Wie der Angriff funktioniert
Die Angriffskette ist systematisch und lautlos. Kein bewusster Klick ist nötig:
- 1. Infizierter USB-Stick: Echte Dateien werden versteckt und durch als Dokumente getarnte Verknüpfungen ersetzt.
- 2. Ausführung: Beim Öffnen der gefälschten Verknüpfung startet ein Skript, das einen Wurm installiert, mit geplanten Aufgaben, die nach einem Neustart weiterhin aktiv bleiben.
- 3. Überwachung: Die Schadsoftware prüft die Windows-Zwischenablage alle 500 Millisekunden und erstellt in regelmäßigen Abständen Screenshots.
- 4. Diebstahl und Austausch: Der Trojaner sucht nach Seed-Phrasen und privaten Schlüsseln. Sobald eine Wallet-Adresse kopiert wird, tauscht er sie gegen die des Angreifers aus.
- 5. Datenexfiltration: Die gestohlenen Daten werden über das Tor-Netzwerk übermittelt, das die Infrastruktur der Angreifer verbirgt.
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
, Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
Warum dieser Trojaner gefährlicher ist als ein gewöhnlicher Clipper
In der Praxis: drei Merkmale heben die Bedrohung auf ein neues Niveau. Erstens das Tor-Netzwerk: Indem die Kommunikation über einen lokalen Proxy und versteckte Adressen geleitet wird, bleibt die Identität der Angreifer nahezu unsichtbar. Zweitens die Hintertür: Der Trojaner ermöglicht es, zu einem späteren Zeitpunkt weiteren Schadcode nachzuladen, was den Weg für Ransomware oder Folgeangriffe öffnet. Drittens, und das ist der hinterhältigste Aspekt:
Beim Ersetzen einer kopierten Wallet-Adresse generiert die Schadsoftware eine Adresse, die der originalen täuschend ähnlich sieht: Anfangs- und Endzeichen stimmen überein, sodass ein flüchtiger Blick den Austausch nicht bemerkt. Betroffen sind Bitcoin in verschiedenen Formaten sowie Ethereum, Tron und Monero.
So schützen Sie sich
Die gute Nachricht: Die Schutzmaßnahmen sind einfach und für jeden umsetzbar.
- AutoRun und AutoPlay deaktivieren: Deaktivieren Sie die automatische Ausführung für Wechseldatenträger unter Windows, damit USB-Sticks beim Einstecken nichts selbstständig starten.
- Unbekannten USB-Sticks misstrauen: Behandeln Sie jeden Wechseldatenträger unbekannter Herkunft als potenziell infiziert. Das gilt besonders für Sticks, die an öffentlichen Plätzen gefunden oder von fremden Personen übergeben wurden.
- Wallet-Adresse vollständig prüfen: Kontrollieren Sie vor jeder Transaktion die gesamte Adresse zeichengenau, nicht nur die ersten und letzten Zeichen.
- Hardware Wallet verwenden: Bestätigen Sie Adressen auf dem Display des physischen Geräts, denn dort hat die Schadsoftware keinen Zugriff. Laut BSI-Empfehlungen zur sicheren Krypto-Verwahrung gelten Hardware Wallets als Standard für die Eigenverwahrung.
Der einzige wirkliche Schwachpunkt ist die Zwischenablage. Genau dort entscheidet sich der Diebstahl, in der halben Sekunde zwischen Kopieren und Einfügen. Die Gewohnheit, die fast alles entschärft, ist simpel und wirkungsvoll: die vollständige Adresse prüfen und auf dem physischen Gerät bestätigen. Für offizielle Updates und technische Details bleiben Microsoft sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) die maßgeblichen Anlaufstellen für DACH-Nutzer.
