Cyberkriminelle nutzen gefälschte Microsoft Office Add-ins, um unbemerkt Krypto-Wallet-Adressen auszutauschen. Diese alarmierende Entdeckung von Kaspersky zeigt eine akute Gefahr für Deine Assets. Sei extrem vorsichtig bei Software-Downloads, besonders von inoffiziellen Quellen.
Eine alarmierende Entdeckung des Cybersicherheitsunternehmens Kaspersky offenbart eine neue Bedrohung: Kriminelle verstecken Krypto-Adressen-austauschende Malware in gefälschten Microsoft Office Add-in-Paketen. Diese Pakete, hochgeladen auf der bekannten Software-Hosting-Plattform SourceForge, täuschen Nutzer, um ihre digitalen Assets zu stehlen. Die Malware, bekannt als „ClipBanker“, ist speziell darauf ausgelegt, Transaktionen unbemerkt umzuleiten und stellt somit ein erhebliches Risiko für Anleger dar, die potenziell hohe Fiatverluste erleiden könnten, wenn ihre Transaktionen manipuliert werden.
Benutzer von Krypto-Wallets kopieren typischerweise Adressen, anstatt sie zu tippen. Wenn das Gerät mit ClipBanker infiziert ist, landet das Geld des Opfers an einem völlig unerwarteten Ort.
Die Tarnung ist perfide: Die gefälschte Projektseite auf SourceForge imitiert täuschend echt eine legitime Entwickler-Tool-Seite. Sie zeigt vermeintliche Office-Add-ins und Download-Buttons an und kann sogar in Suchmaschinenergebnissen erscheinen. Dies erschwert es erheblich, die bösartigen Pakete von echter Software zu unterscheiden. Die Angreifer nutzen die Vertrauenswürdigkeit der Plattform aus, um ihre Malware effektiv zu verteilen und ahnungslose Nutzer in die Falle zu locken.
Der Infektionsmechanismus ist vielschichtig. ClipBanker tauscht nicht nur Wallet-Adressen im Clipboard aus, sondern exfiltriert auch sensible Geräteinformationen wie IP-Adresse, Land und Benutzernamen über Telegram an die Angreifer. Besonders heimtückisch: Die Malware kann das System auf vorherige Installationen oder vorhandene Antivirensoftware scannen und sich bei Erkennung selbst löschen, um einer Entdeckung zu entgehen. Dies zeigt ein hohes Maß an Raffinesse der Angreifer.
Zusätzliche Risiken gehen von den vielfältigen Zugriffsmethoden und der potenziellen Weitergabe kompromittierter Systeme aus. Einige Malware-Dateien sind ungewöhnlich klein, was ein Warnsignal sein sollte, während andere künstlich aufgebläht werden. Es besteht die Gefahr, dass die Angreifer den erlangten Zugriff an andere, gefährlichere Akteure verkaufen. Die primäre Zielsetzung umfasst neben dem Krypto-Diebstahl oft auch den Einsatz von Krypto-Minern. Die russische Benutzeroberfläche deutet auf eine spezifische Zielgruppe hin.
Kasperskys Telemetriedaten untermauern die Vermutung einer regionalen Fokussierung. Zwischen Anfang Januar und Ende März wurden 4.604 betroffene Nutzer identifiziert, wobei über 90% der potenziellen Opfer in Russland lokalisiert wurden. Diese starke Konzentration legt nahe, dass die Kampagne gezielt auf russischsprachige Anwender ausgerichtet ist oder dort besonders erfolgreich war. Die Analyse dieser On-Chain-Bewegungen bzw. der Angriffsvektoren ist entscheidend für das Verständnis der Technologie hinter Kryptowährungen.
Zur Prävention rät Kaspersky dringend, Software ausschließlich von vertrauenswürdigen Quellen herunterzuladen. Insbesondere piratierte Programme und alternative Download-Portale bergen ein signifikant höheres Risiko für Malware-Infektionen. Die Taktik, Schadsoftware als legitime Anwendungen zu tarnen, ist nicht neu, wird aber stetig verfeinert. Nutzer sollten stets wachsam sein und die Herkunft von Software kritisch prüfen, um finanzielle Schäden und den Verlust ihrer Krypto-Assets zu vermeiden.
