Krypto-Adressaustausch-Malware in gefälschten Office-Add-Ins gefunden

Das Cybersicherheitsunternehmen Kaspersky hat Malware entdeckt, die in gefälschten Microsoft Office-Erweiterungspaketen auf SourceForge versteckt ist. Diese tauschen die kopierten Krypto-Wallet-Adressen der Benutzer mit den Adressen der Angreifer aus.

Die schädliche Auflistung, genannt "officepackage", enthält legitime Office-Add-Ins, verbirgt jedoch die ClipBanker-Malware, die die Zwischenablage nach kopierten Krypto-Adressen überwacht und sie durch die Adresse des Angreifers ersetzt.

"Benutzer von Krypto-Wallets kopieren typischerweise Adressen, anstatt sie einzugeben. Wenn das Gerät mit ClipBanker infiziert ist, wird das Geld des Opfers an völlig unerwartete Orte gelangen", erklärten die Kaspersky-Forscher.

Die gefälschte SourceForge-Seite imitiert eine legitime Entwickler-Tool-Seite, um authentisch zu wirken. Kaspersky stellte einige Warnzeichen fest, wie ungewöhnlich kleine Dateigrößen für angebliche Office-Anwendungen.

Die Malware sendet auch Informationen über das infizierte Gerät über Telegram an Hacker und kann sich selbst löschen, wenn sie vorherige Installationen oder Antivirensoftware erkennt.

Während sie hauptsächlich auf Kryptowährungen durch Mining und Adressentausch abzielt, warnte Kaspersky, dass die Angreifer möglicherweise Systemzugriff an gefährlichere Akteure verkaufen könnten.

Die Benutzeroberfläche ist auf Russisch, wobei sich 90 % der potenziellen Opfer zwischen Januar und März 2025 in Russland befinden.

Um eine Infektion zu vermeiden, empfiehlt Kaspersky, Software nur von vertrauenswürdigen Quellen herunterzuladen, da raubkopierte Programme ein höheres Risiko bergen.

Das Unternehmen stellte fest, dass das Verschleiern von Malware als raubkopierte Software eine häufig von Angreifern verwendete Taktik ist, um Benutzer anzulocken, die inoffizielle Downloads suchen.