Achtung, Krypto-Nutzer! Kaspersky warnt vor gefährlicher Malware auf SourceForge, die sich als Microsoft Office-Tools tarnt. Dieser ClipBanker-Trojaner manipuliert die Zwischenablage, um Kryptowährungen direkt an Angreifer umzuleiten. Schützen Sie Ihre digitalen Assets vor dieser raffinierten Bedrohung.
Das Cybersicherheitsunternehmen Kaspersky warnt eindringlich vor einer neuen Malware-Kampagne auf der Software-Plattform SourceForge. Unter dem Deckmantel gefälschter Microsoft Office-Erweiterungen wird der gefährliche ClipBanker-Trojaner verbreitet. Diese Bedrohung zielt spezifisch auf Nutzer von Kryptowährungen ab und stellt ein erhebliches Risiko für deren digitale Assets dar. Die Angreifer nutzen die Popularität von SourceForge aus, um ihre Schadsoftware zu verteilen, was die Notwendigkeit erhöhter Wachsamkeit unterstreicht, insbesondere bei Downloads von weniger bekannten Projekten.
Die Malware tarnt sich als legitimes Projekt namens „officepackage“, das angeblich Office-Add-in-Entwicklungstools bereitstellt. Die Angreifer kopierten dafür sogar echte Microsoft Office-Add-ins von einem GitHub-Projekt, um die Täuschung perfekt zu machen. Die SourceForge-Seite imitiert eine Entwickler-Tool-Seite. Klickt man auf die Download-Buttons, erhält man ein ZIP-Archiv mit einer passwortgeschützten Datei und dem Passwort. Die darin enthaltene MSI-Installationsdatei ist auf über 700 MB aufgebläht – ein Trick, um Virenscanner zu umgehen.
Die Ausführung der MSI-Datei löst eine komplexe Infektionskette aus. Zuerst werden Hilfsdateien extrahiert und ein Visual Basic-Skript gestartet. Dieses lädt ein Batch-Skript von GitHub, das prüft, ob es in einer Sandbox läuft und welche Antivirenprogramme aktiv sind. Anschließend wird ein weiteres Batch-Skript nachgeladen und ein RAR-Archiv entpackt. Dieser mehrstufige Prozess dient dazu, die Erkennung durch Sicherheitssysteme zu erschweren und die eigentlichen Schadkomponenten tief im System zu verankern.
Das entpackte Archiv enthält den ClipBanker-Trojaner (Kape.dll) und einen Kryptowährungs-Miner (Icon.dll). Der Miner missbraucht die Rechenleistung des Opfers für das Mining zugunsten der Angreifer. ClipBanker überwacht die Zwischenablage: Kopiert der Nutzer eine Kryptowährungsadresse, ersetzt die Malware diese unbemerkt durch eine Adresse des Angreifers. Dies führt direkt zu irreversiblen Fiatverlusten, da Transaktionen an die falsche Wallet gesendet werden. Eine On-Chain-Verfolgung solcher gestohlenen Gelder ist oft schwierig.
Die Malware übermittelt gesammelte Systeminformationen wie IP-Adresse, Land und Benutzernamen über Telegram-API-Aufrufe an die Angreifer. Sie kann auch nach Antivirensoftware suchen und sich bei Erkennung selbst löschen. Um Persistenz im System zu erreichen, modifiziert der Schädling die Windows-Registrierung, fügt eigene Dienste hinzu und erstellt ein benutzerdefiniertes Skript im Systemverzeichnis, das bei jedem Neustart ausgeführt wird, was die vollständige Entfernung erschwert.
Kaspersky empfiehlt dringend, Software nur von vertrauenswürdigen Quellen herunterzuladen. Piratierte Programme und alternative Download-Optionen bergen ein erheblich höheres Risiko für Malware-Infektionen.
Die Kampagne scheint primär auf russischsprachige Nutzer abzuzielen, wie die Sprache der Benutzeroberfläche und Kasperskys Telemetriedaten nahelegen. Zwischen Januar und März wurden demnach 90% der potenziellen Opfer in Russland identifiziert – über 4.600 Nutzer fielen auf die Täuschung herein. Dies zeigt eine klare geografische Fokussierung der Angreifer, schließt aber Infektionen in anderen Regionen nicht aus, insbesondere wenn Nutzer russischsprachige Software suchen oder die Spracheinstellungen ignorieren.
Als Gegenmaßnahmen sind grundlegende Sicherheitspraktiken unerlässlich: Laden Sie Software nur von offiziellen oder verifizierten Quellen. Scannen Sie alle Downloads vor der Ausführung mit aktueller Antivirensoftware. Seien Sie misstrauisch bei ungewöhnlich großen oder kleinen Dateien und untypischen Installationsprozessen. Die Bedrohungslandschaft entwickelt sich ständig weiter; andere Malware zielt etwa über gefälschte Android-Overlays auf die Herausgabe von Krypto-Seed-Phrasen ab, was die Notwendigkeit ständiger Wachsamkeit bei der Krypto-Aufbewahrung unterstreicht.
