Bericht: Clipboard-Hijacker überwacht 2,3 Millionen Bitcoin Adressen

Bleeping Computer, ein Portal für News aus dem Bereich IT, Reviews und technischen Support, warnt aktuell davor, vor dem Versenden einer Transaktion die Empfangsadresse von Kryptowährungen ganz genau zu prüfen. Seit dieser Woche verbreitet sich laut Analyse von Bleeping Computers eine Schadsoftware, die über 2,3 Millionen Bitcoin Adressen überwacht. 

Zwar ist diese Art von Malware, Kryptowährungs-“Clipboard-Hijacking” nichts neues. Allerdings hat das Portal eine Malware entdeckt, die ein noch nie dagewesenes Ausmaß an Bitcoin Adressen überwacht. Während, wie das Portal berichtet, in der Vergangenheit lediglich Clipboard-Hijacker von Kryptowährungen entdeckt wurden, die zwischen 400.000 bis 600.000 Adressen lagen, schafft es die aktuelle Malware, die als Teil des “All-Radio 4.27 Portable Malware-Pakets” entdeckt wurde, insgesamt mehr als 2,3 Millionen Kryptowährungsadressen zu überwachen.

Die Malware macht sich zu Nutze, dass Krypto-Besitzer zum Versenden unmöglich zu merkende bzw. nur extrem aufwändig abzuschreibende Adressen benutzt. Aufgrund dessen nutzt wahrscheinlich die Mehrheit der Besitzer die Funktion des “Kopieren und Einfügens” über die Zwischenablage, um Kryptowährungen zu Versenden.

Die Malware nutzt diese Verhaltensweise. Sie erkennt die Adresse im Zwischenspeicher und tauscht sie, falls eine entdeckt wird, mit einer von den Hackern kontrollierten Adresse aus. Wenn ein Benutzer die Adresse nach dem Einfügen nicht noch einmal überprüft, werden die gesendeten Bitcoin an die Hacker-Adresse, anstatt den eigentlichen Empfänger gesendet.

Wie das Portal weiterhin berichtet, wurde die Schadsoftware erst diese Woche als Teil des All-Radio 4.27 Portable Malware-Pakets verbreitet. Nach der Installation wird ein kleines Programm bzw. eine Programmbibliotek (DLL) mit dem Namen “d3dx11_31.dll” in den Windows-Ordner “Temp” und eine Datei mit dem Namen “DirectX 11” automatisch geladen, um die DLL auszuführen, wenn sich ein Benutzer am Computer anmeldet.

Diese DLL wird mit rundll32.exe mit dem Befehl “rundll32 C: Benutzer [Benutzername] AppData Local Temp d3dx11_31.dll, includes_func_rundded” ausgeführt.

Das Portal spricht eine deutliche Warnung aus und weist darauf hin, stets eine aktuelle Virensoftware zu nutzen (frei übersetzt):

Da Malware wie diese im Hintergrund läuft und nicht anzeigt wird, dass sie überhaupt läuft, ist es nicht leicht zu erkennen, dass Sie infiziert sind. Daher ist es wichtig, immer eine aktualisierte Antivirenlösung installiert zu haben, um Sie vor diesen Arten von Bedrohungen zu schützen.

Bleeding Computer hat auch ein anschauliches Video erstellt, indem gezeigt wird, wie die Malware eine Adresse durch eine andere Adresse ersetzt:

Disclaimer: — Der Handel mit Kryptowährungen birgt ein großes finanzielles Risiko und kann bis zum Totalverlust des eingesetzten Kapitals führen. Coin-hero.de stellt keine Anlageberatung und Empfehlung im Sinne des Wertpapierhandelsgesetzes (WpHG) dar. Die Webseiteninhalte dienen ausschliesslich der Information und Unterhaltung der Leser. Die hier getroffenen Aussagen stellen lediglich unsere eigene Meinung und keine Kaufempfehlung dar. Bitte unternehmen Sie auch eigene Recherchen, bevor Sie in Kryptowährungen investieren. Wir übernehmen keinerlei Haftung für jegliche Art von Schäden. Bitte lesen Sie auch unseren Haftungsausschluss im Impressum. —