Microsoft Waarschuwt Voor USB Crypto Clipper Die Wallets Hijackt

Microsoft Threat Intelligence meldt dat Windows-gebruikers gewaarschuwd moeten worden voor een nieuwe variant van malware, specifiek gericht op cryptocurrency. Deze zogenaamde ‘clipper’ malware, die sinds februari actief is, steelt gegevens van het klembord (clipboard) om portemonnee-informatie te ontfutselen. De malware maakt gebruik van technieken zoals hoogfrequente klemborddiefstal, screenshot-exfiltratie en vervangingen van wallet-adressen om doelwitten te benadelen.

De criminele software gaat verder dan het louter stelen van informatie. Het fungeert als een backdoor, waardoor aanvallers op elk gewenst moment schadelijke code kunnen uitvoeren op de geïnfecteerde systemen. Dit transformeert wat begint als een eenvoudige diefstal van crypto in een langdurige toegang voor ransomware-aanvallen. Het opmerkelijke aan deze clipper is dat deze niet afhankelijk is van traditionele installateurs of zichtbare IP-gebonden infrastructuren, wat de detectie bemoeilijkt. Het benadrukt hoe lichtgewicht, script-gebaseerde diefstalsoftware aanzienlijke schade kan aanrichten wanneer ze wordt gekoppeld aan anonieme communicatie en runtime-tasks.

De malware implementeert twee obfuscated JavaScript-payloads in de Windows Documenten-map en plant taken voor zowel de worm- als de stealer-componenten. geheim aan de gebruiker is het feit dat het een kopie van Tor installeert op de computer, vermomd als ‘ugate.exe’. Door gebruik te maken van het Tor-netwerk kunnen de aanvallers contact leggen met hun kwaadwillende operatoren via verborgen ‘onion’-adressen. De combinatie van Tor-gebaseerde commando’s en controle (C2), klemborddoelwitten, screenshots en de mogelijkheid tot externe code-executie biedt aanvallers zowel directe monetarisatie mogelijkheden als voortdurende controle over de gecompromitteerde apparaten.

De crypto clipper richt zich specifiek op waardevolle financiële gegevens, waaronder BIP39 mnemonic seed phrases en privé-sleutels van Bitcoin en Ethereum. Daarnaast vervangt het gekopieerde wallet-adressen door die van de aanvallers, met ondersteuning voor Bitcoin, Tron en Monero. Elke tien seconden worden er screenshots gemaakt voor extra context en bewijs.

Microsoft Defender Antivirus classificeert deze malware als ‘Trojan:Win32/CryptoBandits.A’. Ter bescherming adviseert Microsoft om autoplay op externe media uit te schakelen, de uitvoering van .lnk-bestanden van USB-stations te blokkeren en te monitoren op proxy-activiteit en opgeroepen scripts. Het is opmerkelijk dat 2026 al een aanzienlijke stijging heeft gezien in Windows-gebaseerde crypto diefstallen. Recent is er een nieuwe malwarevariant genaamd Lucid Stealer geïdentificeerd, die zich richt op browserextensies en crypto-portemonnees.

Vraag & Antwoord

Waarom is deze variant van malware zo gevaarlijk?
Deze malware is gevaarlijk vanwege de combinatie van klemborddiefstal en de mogelijkheid om op afstand code uit te voeren, wat de aanvallers een langdurige toegang geeft tot de geïnfecteerde systemen.

Welke beschermingsmaatregelen kunnen gebruikers treffen?
Gebruikers kunnen hun veiligheid verbeteren door autoplay op externe media uit te schakelen, de uitvoering van .lnk-bestanden van USB-apparaten te blokkeren en regelmatig proxies en scriptactiviteit te monitoren.

Wat zijn de laatste trends in malware gericht op cryptocurrencies?
De trend laat een aanzienlijke toename zien van Windows-gebaseerde diefstallen, zoals blijkt uit de opkomst van Lucid Stealer, die browserextensies en crypto-portemonnees als doelwit neemt.