- Malware in gefälschten Microsoft Office-Erweiterungen auf SourceForge ersetzt kopierte Krypto-Wallet-Adressen durch die des Angreifers.
- Über 4.600 Systeme wurden zwischen Januar und März 2025 infiziert.
Cyberkriminelle haben eine ausgeklügelte Malware-Kampagne gestartet, die gezielt Kryptowährungsnutzer angreift.
Laut einem aktuellen Bericht des Cybersicherheitsunternehmens Kaspersky vom 8. April 2025 tarnt sich die Schadsoftware als Microsoft Office-Erweiterungen auf der Entwicklerplattform SourceForge und nutzt eine gefährliche Clipboard-Hijacking-Technik.
Die Angreifer haben ein gefälschtes Projekt namens „officepackage“ auf SourceForge erstellt, das legitime Microsoft Office-Add-ins zu enthalten scheint, aber tatsächlich mit einer Malware namens ClipBanker infiziert ist.
Diese Malware überwacht die Zwischenablage des Nutzers und ersetzt kopierte Kryptowährungsadressen durch vom Angreifer kontrollierte Adressen, was dazu führt, dass Gelder direkt an die Angreifer überwiesen werden.
„Nutzer von Krypto-Wallets kopieren typischerweise Adressen, anstatt sie einzutippen. Wenn das Gerät mit ClipBanker infiziert ist, landet das Geld des Opfers an einem völlig unerwarteten Ort“,
erklärte das Anti-Malware-Forschungsteam von Kaspersky.
Komplexe Infektionskette und weitreichende Auswirkungen
Die Malware-Kampagne ist sorgfältig konzipiert, um legitime Software zu imitieren. Die gefälschte Projektseite auf SourceForge wurde von Suchmaschinen indiziert und erscheint in den Suchergebnissen für „Office Add-ins“.
Wenn Nutzer auf die Download-Buttons klicken, erhalten sie eine ZIP-Datei mit einem passwortgeschützten Archiv, das einen aufgeblähten Installer (700MB) enthält, der darauf ausgelegt ist, Antivirensoftware zu umgehen.
Nach der Installation führt die Malware mehrere Überprüfungen durch, um festzustellen, ob sie in einer simulierten Umgebung läuft und welche Antivirenprodukte aktiv sind.
Anschließend lädt sie weitere Skripte herunter und entpackt ein RAR-Archiv, das einen Kryptowährungs-Miner und einen Clipper enthält.
Die Schadsoftware sammelt auch sensible Daten von infizierten Geräten – wie IP-Adressen, Länder und Benutzernamen – und sendet diese über Telegram an die Angreifer.
Kaspersky stellte fest, dass einige Dateien im betrügerischen Download verdächtig klein sind, während andere mit Junk-Daten aufgefüllt wurden, um überzeugender zu wirken.
Die Telemetrie von Kaspersky zeigt, dass 90 % der potenziellen Opfer in Russland ansässig sind, wobei zwischen Anfang Januar und Ende März 2025 über 4.600 Nutzer mit dem Schema in Kontakt kamen.
Die russischsprachige Benutzeroberfläche deutet darauf hin, dass die Malware möglicherweise speziell auf russischsprachige Nutzer abzielt.
Obwohl das primäre Ziel der Attacke das Stehlen von Kryptowährungen durch Mining und Adressaustausch ist, könnten die Angreifer auch den Zugriff auf kompromittierte Systeme an gefährlichere Akteure verkaufen.
Kaspersky empfiehlt Nutzern, Software nur von offiziellen, vertrauenswürdigen Quellen herunterzuladen und warnt, dass raubkopierte oder alternative Softwareversionen oft als Vehikel für Malware verwendet werden.
Weiterlesen: Europas Krypto-Boom in Zahlen – der Bitpanda-Report im Überblick
