Default
Door Remote - 19 Jun 2026
Microsoft Threat Intelligence waarschuwt Windows-gebruikers voor een cryptocurrency-clipper-variant van malware die wordt verzonden via USB-drives.
De malware, waar gebruikers sinds februari last van hebben, steelt klembordgegevens om portemonneegegevens te extraheren met behulp van “hoogfrequente klemborddiefstal, screenshot-exfiltratie en vervanging van portemonnee-adressen”, zei Microsoft woensdag.
De cryptoclipper verbergt ook legitieme bestanden en vervangt deze door vergelijkbare snelkoppelingen, zodat slachtoffers onbewust malware uitvoeren terwijl een wormcomponent zich automatisch voortplant naar USB-opslagapparaten.
Deze malware is verraderlijk omdat het meer is dan alleen een informatiedief. Het functioneert als een achterdeur, wat betekent dat aanvallers op elk moment willekeurige code op geïnfecteerde machines kunnen pushen en uitvoeren, waardoor een eenvoudige cryptodiefstal een blijvende voet aan de grond krijgt voor ransomware.
De uitvoering van deze clipper is ook opmerkelijk omdat deze niet afhankelijk is van een traditioneel installatieprogramma of een blootgestelde IP-gebaseerde infrastructuur, aldus de Microsoft-onderzoekers.
“Deze malwarefamilie laat zien hoe lichtgewicht, op scripts gebaseerde stealers een buitensporige impact kunnen hebben in combinatie met geanonimiseerde communicatie en runtime-taken.” Tor-netwerk gebruikt voor verduistering De malware implementeert twee versluierde JavaScript-payloads in de map Windows Documents en creëert geplande taken voor zowel de worm- als de stealer-component.
De malware installeert ook in het geheim een kopie van Tor op de computer van het slachtoffer, maar hernoemt deze tot ugate.exe om het als iets onschuldigs te vermommen. Vervolgens gebruikt het het anonimiserende Tor-netwerk om verbinding te maken met zijn kwaadwillende operators op verborgen ‘ui’-adressen.
Gerelateerd: ‘TrapDoor’-malware richt zich op crypto-ontwikkeltools bij aanvallen op de toeleveringsketen
“De combinatie van Tor-routed C2, klembordtargeting, screenshot-opname en uitvoering van code op afstand geeft aanvallers zowel directe mogelijkheden om inkomsten te genereren als voortdurende controle over gecompromitteerde apparaten”, aldus Microsoft.
Uitvoeringsstroom van Crypto Clipper. Bron: Microsoft
Privésleutels en zaadzinnen getarget De cryptoclipper richt zich op ‘hoogwaardige financiële artefacten’ van het klembord, waaronder BIP39-ezelsbruggetjes en privésleutels van Bitcoin en Ethereum.
Het vervangt ook gekopieerde portefeuilleadressen door door aanvallers gecontroleerde adressen in Bitcoin, Tron en Monero en maakt elke tien seconden schermafbeeldingen voor extra context.
Microsoft Defender Antivirus detecteert de malware als Trojan:Win32/CryptoBandits.A.
Microsoft raadde aan om autoplay op verwisselbare media uit te schakelen, de uitvoering van .lnk vanaf USB-drives te blokkeren en te controleren op proxy-activiteit en voortgebrachte scripts.
In 2026 is er sprake geweest van een aanzienlijke escalatie van op Windows gebaseerde crypto-stelers. Een nieuwe Windows-malwaresoort genaamd Lucid Stealer die zich richt op browserextensies en crypto-wallets werd eerder deze maand geïdentificeerd door het Foresiet Threat Intel Team.
Tijdschrift: Het einde van anon? AI zou de verborgen identiteiten van crypto kunnen ontmaskeren
De malware, waar gebruikers sinds februari last van hebben, steelt klembordgegevens om portemonneegegevens te extraheren met behulp van “hoogfrequente klemborddiefstal, screenshot-exfiltratie en vervanging van portemonnee-adressen”, zei Microsoft woensdag.
De cryptoclipper verbergt ook legitieme bestanden en vervangt deze door vergelijkbare snelkoppelingen, zodat slachtoffers onbewust malware uitvoeren terwijl een wormcomponent zich automatisch voortplant naar USB-opslagapparaten.
Deze malware is verraderlijk omdat het meer is dan alleen een informatiedief. Het functioneert als een achterdeur, wat betekent dat aanvallers op elk moment willekeurige code op geïnfecteerde machines kunnen pushen en uitvoeren, waardoor een eenvoudige cryptodiefstal een blijvende voet aan de grond krijgt voor ransomware.
De uitvoering van deze clipper is ook opmerkelijk omdat deze niet afhankelijk is van een traditioneel installatieprogramma of een blootgestelde IP-gebaseerde infrastructuur, aldus de Microsoft-onderzoekers.
“Deze malwarefamilie laat zien hoe lichtgewicht, op scripts gebaseerde stealers een buitensporige impact kunnen hebben in combinatie met geanonimiseerde communicatie en runtime-taken.” Tor-netwerk gebruikt voor verduistering De malware implementeert twee versluierde JavaScript-payloads in de map Windows Documents en creëert geplande taken voor zowel de worm- als de stealer-component.
De malware installeert ook in het geheim een kopie van Tor op de computer van het slachtoffer, maar hernoemt deze tot ugate.exe om het als iets onschuldigs te vermommen. Vervolgens gebruikt het het anonimiserende Tor-netwerk om verbinding te maken met zijn kwaadwillende operators op verborgen ‘ui’-adressen.
Gerelateerd: ‘TrapDoor’-malware richt zich op crypto-ontwikkeltools bij aanvallen op de toeleveringsketen
“De combinatie van Tor-routed C2, klembordtargeting, screenshot-opname en uitvoering van code op afstand geeft aanvallers zowel directe mogelijkheden om inkomsten te genereren als voortdurende controle over gecompromitteerde apparaten”, aldus Microsoft.
Uitvoeringsstroom van Crypto Clipper. Bron: Microsoft
Privésleutels en zaadzinnen getarget De cryptoclipper richt zich op ‘hoogwaardige financiële artefacten’ van het klembord, waaronder BIP39-ezelsbruggetjes en privésleutels van Bitcoin en Ethereum.
Het vervangt ook gekopieerde portefeuilleadressen door door aanvallers gecontroleerde adressen in Bitcoin, Tron en Monero en maakt elke tien seconden schermafbeeldingen voor extra context.
Microsoft Defender Antivirus detecteert de malware als Trojan:Win32/CryptoBandits.A.
Microsoft raadde aan om autoplay op verwisselbare media uit te schakelen, de uitvoering van .lnk vanaf USB-drives te blokkeren en te controleren op proxy-activiteit en voortgebrachte scripts.
In 2026 is er sprake geweest van een aanzienlijke escalatie van op Windows gebaseerde crypto-stelers. Een nieuwe Windows-malwaresoort genaamd Lucid Stealer die zich richt op browserextensies en crypto-wallets werd eerder deze maand geïdentificeerd door het Foresiet Threat Intel Team.
Tijdschrift: Het einde van anon? AI zou de verborgen identiteiten van crypto kunnen ontmaskeren