Krypto-Nutzer müssen erneut wachsam sein. Laut Kaspersky ist eine neue Art von Malware aufgetaucht, die gezielt auf Personen abzielt, die Kryptowährungen verwenden. Die Schadsoftware versteckt sich in gefälschten Microsoft-Office-Erweiterungen, die über SourceForge angeboten werden – eine beliebte Plattform für Softwaredownloads.
Diese gefälschten Add-ins wirken legitim, führen jedoch im Hintergrund eine perfide Manipulation durch: Sie ersetzen automatisch kopierte Wallet-Adressen durch jene des Angreifers.
Kryptowährungen sind erhältlich bei Bitvavo und Bybit.
Cleverer Trick mit kopierten Wallet-Adressen
Die schädliche Software nutzt eine Methode namens „Clipboard Hijacking“. Anstatt Wallet-Adressen manuell einzugeben, kopieren die meisten Nutzer diese in die Zwischenablage. Genau hier setzt die Malware an: Sobald ein Opfer eine Wallet-Adresse kopiert, ersetzt die Software sie unbemerkt durch die Adresse des Angreifers. Dadurch landet die Krypto versehentlich beim Angreifer.
Das Cybersicherheitsunternehmen Kaspersky fand heraus, dass die Malware in angeblichen Microsoft-Office-Add-ins auf SourceForge verborgen ist. Eines dieser Pakete mit dem Namen „officepackage“ enthält zwar echte Erweiterungen, ist jedoch mit schädlichem Code manipuliert. Die Fake-Software installiert den Trojaner ClipBanker, der Krypto-Wallet-Adressen abfängt.
Laut Kaspersky sendet die Malware zudem Informationen wie IP-Adresse, Standort und Benutzername des Opfers über Telegram an die Angreifer. Sie prüft außerdem, ob das System bereits infiziert ist oder ob Sicherheitssoftware läuft – und löscht sich bei Bedarf selbstständig.
Malware vor allem in Russland aktiv
Kaspersky berichtet, dass sich die Malware zunächst auf russische Nutzer konzentriert. Zwischen Januar und Ende März wurden mehr als 4600 Infektionsversuche in Russland registriert. Es ist jedoch gut möglich, dass sich die Kampagne auf weitere Regionen ausweitet – insbesondere wenn Krypto-Nutzer weiterhin auf alternative Downloadquellen außerhalb offizieller Plattformen zurückgreifen.
Auffällig ist, dass einige Dateien in dem gefälschten Downloadpaket ungewöhnlich klein sind – was verdächtig wirkt, da Office-Anwendungen normalerweise deutlich größer sind. Andere Dateien wiederum wurden künstlich mit unnötigen Daten aufgebläht, um seriöser zu erscheinen.
Neben dem Diebstahl von Kryptowährungen kann der Zugriff auf das infizierte System auch an andere Cyberkriminelle weiterverkauft werden. Kaspersky warnt daher dringend davor, Software ausschließlich über vertrauenswürdige und offizielle Plattformen herunterzuladen.