Crypto Clipper – Microsoft entdeckt neue leichtgewichtige Backdoor, die Kryptowährungen stiehlt

LGR Reutlingen – 19 Juni 2026 | Microsoft discovers new lightweight backdoor that steals cryptocurrency – das Unternehmen hat in einer detaillierten Sicherheitsanalyse einen bislang unbekannten, selbstausbreitenden Schadcode identifiziert, der über USB‑Laufwerke nach Krypto‑Wallet‑Daten sucht und diese über das Anonymisierungsnetzwerk Tor an Angreifer weiterleitet. Die Entdeckung wirft ein Schlaglicht auf die wachsende Bedrohungslage im Bereich digitaler Finanzen und zeigt, wie raffinierte Malware‑Varianten herkömmliche Verteidigungsmechanismen umgehen können.

Microsoft discovers new lightweight backdoor that steals cryptocurrency – Analyse der Funktionsweise

Der neu benannte Wurm “Crypto Clipper” zeichnet sich durch eine ungewöhnlich geringe Größe aus und verzichtet vollständig auf klassische Installer oder statische Command‑and‑Control‑Server. Stattdessen transportiert er einen portablen Tor‑Client, der über einen lokalen SOCKS5‑Proxy den Datenverkehr ins Darknet leitet. Sobald das Malware‑Modul aktiv ist, überwacht es die Zwischenablage (Clipboard) des infizierten Geräts nach Mustern, die typisch für Wallet‑Adressen oder Seed‑Phrasen sind. Erkennt es solche Informationen, werden fünf Screenshots innerhalb von zehn Sekunden erstellt, um das visuelle Umfeld zu erfassen.

Die gesammelten Daten – sowohl die reinen Kryptowährungs‑Credentials als auch die Screenshots – werden anschließend über das Tor‑Netzwerk an die Angreifer gesendet. Durch die Nutzung von Tor werden sowohl die Quell‑ als auch die Ziel‑IP‑Adressen effektiv verschleiert, sodass herkömmliche Log‑Analyse‑Tools kaum Spuren zurückverfolgen können. Diese Kombination aus leichter Portabilität, anonymisiertem Datenabfluss und direkter Remote‑Code‑Execution verwandelt den bislang rein finanziell motivierten Dieb in eine vollwertige, aber äußerst schwer nachzuweisende Backdoor.

Technische Details und Verbreitungsweg

Der Infektionsvektor von Crypto Clipper ist überraschend simpel: USB‑Sticks, die in öffentlichen Einrichtungen, Bürogebäuden oder bei privaten Nutzern ausgetauscht werden, dienen als Träger. Sobald ein infiziertes Laufwerk an einen Computer angeschlossen wird, aktiviert das Malware‑Modul einen Auto‑Run‑Trigger, der den Code im Hintergrund ausführt, ohne dass ein Benutzerinteraktion erforderlich ist. Da die Schadsoftware keinen herkömmlichen Netzwerk‑C2 verwendet, bleibt sie für viele traditionelle Endpoint‑Protection‑Lösungen unsichtbar.

Ein weiterer Trick besteht darin, dass das Modul zunächst nur im Speicher aktiv ist und keine Dateien auf der Festplatte hinterlässt. Dies erschwert die forensische Analyse erheblich, weil herkömmliche Antiviren‑Scanner, die auf Datei‑Signaturen basieren, das Malware‑Fragment schlicht übersehen. Erst durch das Monitoring von Netzwerk‑Traffic und das Erkennen von ungewöhnlichen Tor‑Verbindungen konnten die Sicherheitsexperten von Microsoft das Muster identifizieren.

Die Entscheidung, einen lokalen SOCKS5‑Proxy zu nutzen, ist dabei kein Zufall. Der Proxy fungiert als Bindeglied zwischen dem internen Netzwerk und dem externen Tor‑Client, wodurch sämtliche ausgehenden Datenpakete verschlüsselt und über mehrere Relays weitergeleitet werden. Für Unternehmen bedeutet dies, dass selbst gut konfigurierte Firewalls das Datenexfiltrationsverhalten nicht zuverlässig blockieren können, solange der Datenstrom über erlaubte Ports (z. B. 1080 für SOCKS5) geht.

Die Tatsache, dass das Schadprogramm gezielt nach Clipboard‑Inhalten sucht, macht es besonders gefährlich für Krypto‑Trader, die regelmäßig Kopien von Wallet‑Adressen oder Seed‑Phrasen in die Zwischenablage einfügen. Ein kurzer Blick auf das Clipboard reicht dem Angreifer aus, um sämtliche digitalen Assets zu übernehmen. Kombiniert mit den Screenshots, die potenzielle zusätzliche Informationen wie laufende Handelsplattformen oder Sicherheits‑Screenshots offenbaren, entsteht ein umfassendes Bild des finanziellen Umfelds des Opfers.

Microsofts Sicherheitsforschungsteam hat bereits erste Abwehrmaßnahmen veröffentlicht, darunter Empfehlungen zum Deaktivieren von Auto‑Run auf allen Windows‑Systemen, regelmäßige Updates von Endpoint‑Protection‑Software sowie das konsequente Nutzen von Hardware‑Security‑Modulen (HSM) für die Speicherung von Seed‑Phrasen. Zudem wird geraten, kritische Clipboard‑Operationen in isolierten, temporären Umgebungen durchzuführen oder Tools zu verwenden, die das Clipboard nach jedem Kopiervorgang automatisch leeren.

Für Unternehmen, die stark auf Krypto‑Transaktionen setzen – etwa im FinTech‑Sektor – bedeutet die Entdeckung von Crypto Clipper, dass bestehende Sicherheitsarchitekturen neu bewertet werden müssen. Neben den klassischen Maßnahmen wie Multi‑Factor‑Authentication (MFA) und Cold‑Storage-Strategien sollten Unternehmen jetzt verstärkt auf Netzwerk‑Monitoring und das Blockieren von nicht autorisierten Proxy‑Verbindungen setzen.

Die Implikationen reichen jedoch über den reinen Finanzsektor hinaus. Da die Malware keine spezifischen Zielplattformen verlangt und sich lediglich über USB‑Sticks verbreitet, können auch Behörden, Forschungseinrichtungen oder Unternehmen, die keine Krypto‑Assets besitzen, Opfer werden – insbesondere wenn Mitarbeitende private Wallet‑Applikationen nutzen. Die Gefahr einer breiten Streuung über unsichere USB‑Geräte wird daher von Experten als ernstzunehmender Faktor eingestuft.

Ein weiterer Aspekt, der die Diskussion um Crypto Clipper beleuchtet, ist die zunehmende Nutzung von Tor für legitime Geschäftsprozesse, etwa zur Wahrung der Privatsphäre bei internationalen Finanztransaktionen. Die Verschmelzung von legitimen Anonymisierungsdiensten mit kriminellen Aktivitäten erschwert die Abgrenzung und zwingt Sicherheitsanbieter, differenziertere Erkennungsmechanismen zu entwickeln, die nicht nur auf bekannten Signaturen, sondern auch auf Verhaltensmuster basieren.

Die Reaktion von Microsoft war schnell: Das Unternehmen hat ein detailliertes Malware‑Analyse‑Report veröffentlicht, das nicht nur die technische Funktionsweise dokumentiert, sondern auch konkrete Handlungsempfehlungen für IT‑Security‑Teams enthält. Zusätzlich arbeitet Microsoft mit führenden Sicherheitsfirmen und Strafverfolgungsbehörden zusammen, um die Angreifer‑Infrastruktur zu lokalisieren und potenzielle Strafverfolgungsmaßnahmen zu unterstützen.

Abschließend lässt sich festhalten, dass die Entdeckung von Microsoft discovers new lightweight backdoor that steals cryptocurrency ein deutliches Signal dafür ist, dass Cyberkriminelle immer ausgefeiltere Techniken einsetzen, um an digitale Vermögenswerte zu gelangen. Die Kombination aus leichtgewichtiger Portabilität, anonymem Datenabfluss über Tor und gezieltem Diebstahl von Clipboard‑Daten markiert einen neuen Wendepunkt in der Evolution von Finanz‑Malware. Unternehmen und Privatpersonen sollten ihre Sicherheitsstrategien entsprechend anpassen, um den wachsamen Blicken von Angreifern entgegenzuwirken.