Experten des russischen Antivirus-Spezialisten Kaspersky Lab haben einen Trojaner entdeckt, der Bitcoin-Überweisungen umleitet, indem er Empfängeradressen in der Zwischenablage verändert. Bisher haben die Angreifer umgerechnet mehr als 170.000 US-Dollar erbeutet.

Die Empfängeradresse kopieren und einfügen, den gewünschten Betrag eingeben, auf „Send“ klicken – fertig ist die Bitcoin-Überweisung. Doch was wäre, wenn sich die Empfängeradresse zwischen dem Kopieren und dem Einfügen ins Eingabefeld des Bitcoin-Clients auf wundersame Weise verändert hätte?

Genau dies kann passieren. Kaspersky Lab hat einen neuen Trojaner entdeckt, der die Zwischenablage von Windows-Systemen überwacht. Erkennt er dort eine Bitcoin-Adresse, ersetzt er sie durch eine eigene Adresse. Der „CryptoShuffler“ genannte Schädling profitiert davon, dass die wenigsten Nutzer eine kopierte Empfängeradresse nach dem Einfügen überprüfen.

Seit einem Jahr aktiv

Auf diese Weise erbeuteten die Angreifer bis am 1. November 2017 23,24 Bitcoins. Zum aktuellen Kurs umgerechnet ist das ein stattlicher Betrag von mehr als 170.000 US-Dollar. Offenbar konnte sich die Malware, die keine Internetverbindung aufbaut, bisher gut verstecken. Denn obwohl mehr als ein Jahr vergangen ist, seit die ersten Zahlungen an der von CryptoShuffler verwendeten Bitcoin-Adresse eingingen, blieb der Trojaner lange unentdeckt. Nach einer ersten Aktivitätsspitze gegen Ende 2016 leitete der Schädling in der ersten Hälfte dieses Jahres deutlich weniger Zahlungen um. Ab Juni erwachte er zu neuem Leben.

Gefährdet sind nicht nur Bitcoin-Überweisungen. Nach Angaben von Kaspersky hat es der Trojaner auch auf Ether, Dash, Monero, Zcash, Dogecoin und weitere Kryptowährungen abgesehen.

Empfängeradresse überprüfen

Wer sich vor einer Zahlungsumleitung durch CryptoShuffler schützen will, sollte vor dem Absenden einer Kryptogeld-Überweisung unbedingt die Empfängeradresse überprüfen. Davon abgesehen empfehlen sich die üblichen Schutzmaßnahmen gegen Malware: keine unbekannten E-Mail-Anhänge öffnen, regelmäßig Updates einspielen, Backups anfertigen und einen aktuellen Virenscanner verwenden.

Quellen

>> Mitteilung von Kaspersky Lab
>> Bitcoin-Adresse der Angreifer auf Blockchain.info

Foto (c) Kaspersky