Clipboard Hijacker: Schadsoftware leert Bitcoin-Wallets

Eine recht neuartige Schadsoftware namens Clipboard Hijacker hat es bei Windows-Computern auf die Manipulation der Zwischenablage abgesehen. Sobald der Nutzer eine dem System bekannte Bitcoin-Adresse in der Zwischenablage speichert, wird die Adresse automatisch verändert. Die Kryptowährung landet dann in der Wallet der Cyberkriminellen statt auf dem gewünschten Account. Diese neue Variante ist Teil des kürzlich aufgetauchten „All-Radio 4.27 Portable“ Schadsoftware-Pakets. Es überwacht automatisch rund 2,3 Millionen Bitcoin-Adressen.

Lars Sobiraj
Teilen

Das Team von Bleeping Computer hat eine besonders ausgefeilte Schadsoftware für Windows-Computer ausgemacht. Im Clipboard Hijacker sind 2,3 Millionen Bitcoin-Adressen gespeichert, die für die Cyberkriminellen bares Geld wert sind. Viele Nutzer von Online-Handelsplätzen fügen die Ziel-Adresse der Wallet per Copy & Paste ein. Sobald aber in der Zwischenablage eine der bekannten 2,3 Millionen Adressen auftaucht, verändert der Trojaner die Zwischenablage. Statt der gewünschten Wallet-Adresse wird automatisch die der Cyberkriminellen eingetragen. Die Anzahl der gespeicherten Wallets ist rekordverdächtig. Bisher bekannte Clipboard Hijacker hatten lediglich 400.000 bis 600.000 Adressen verschiedener Kryptowährungen (zumeist Bitcoin) im Portfolio.

Die Schadsoftware installiert sich schnell, geräuschlos und einfach. Nach erfolgtem Download der Datei d3dx11_31.dll erstellt der Virus eine ausführbare Datei namens „DirectX 11“, die Außenstehenden aufgrund des Namens nicht weiter auffällt. Diese Datei wird aktiv, sobald sich der Nutzer bei Windows anmeldet. Später werden noch zwei weitere Dateien auf dem Zielrechner hinterlegt. Danach passiert zunächst nichts. Die Schadsoftware soll den gewöhnlichen Betrieb nicht beeinträchtigen und macht sich auch sonst nicht bemerkbar. Der infizierte Computer wartet auf den Moment, bis man eine Wallet-Adresse in das Clipboard einfügt. Diese wird dann bei Bedarf verändert. Das Problem: Wenn der Nutzer die Ziel-Adresse der Wallet nicht sorgfältig überprüft, wird er den Betrug nicht feststellen. Wenn man die Coins verschickt, landen sie auf dem Konto der Cyberkriminellen und sind somit für immer verloren.

Wie kann ich mich vor dem Clipboard Hijacker schützen?

Wer sich vor einer Manipulation seiner Bitcoin-Transfers schützen will, sollte seine Antiviren-Software auf einen aktuellen Stand bringen. Die Antiviren-Software sollte anschließend den PC komplett überprüfen. Daneben ist es stets sinnvoll, die Ziel-Adresse bei Transfers mehrfach manuell mit dem Original abzugleichen. Auch bei neuartigen Schadprogrammen kann man somit trotz einer Infektion des eigenen Computers vermeiden, dass Gelder auf die Konten Dritter umgeleitet werden. Von Clipboard Hijackern wurde schon vor mehr als zehn Jahren berichtet, damals waren auch Nutzer von Mac OS X von der Infektion betroffen. Neu ist die Veränderung der Zwischenablage, um Kryptowährungen umzuleiten. Die frühere Schadsoftware hat sich sofort bemerkbar gemacht, weil die Zwischenablage nicht mehr zu gebrauchen war. Besonders heimtückisch ist die neue Variante, weil sie sich erst dann bemerkbar macht, wenn es zu spät ist und gleichzeitig über eine umfangreiche Datenbank an Bitcoin-Adressen verfügt.

BTC-ECHO

Steuererklärung für Kryptowährungen leicht gemacht
Wir zeigen dir in unserem BTC-ECHO Vergleichsportal die besten Tools für die automatische und kinderleichte Erstellung von Krypto-Steuerberichten.
Zum Steuersoftware-Vergleich