l+f: Der kleptomanische Cliptomaner

Strg+V – und weg ist das digitale Geld: Die Malware Cliptomaner nutzt das Clipboard, um ihre Opfer zu "freiwilligen" Überweisungen an Kriminelle zu bewegen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Bitcoin

(Bild: ANDREI ASKIRKA/Shutterstock.com)

Von
  • Olivia von Westernhagen

Schadcode, der auf fremden Rechnern Kryptowährungen schürft oder zu stehlen versucht, gibt es schon lange. Der seit September letzten Jahres kursierende "Cliptomaner" hat das nicht nötig: Die Malware setzt lieber auf "freiwillige" Bitcoin-Überweisungen an ihre Macher. Dazu überwacht und manipuliert sie die Zwischenablage infizierter Windows-Systeme.

Einem aktuellen Tweet eines Sicherheitsforschers zufolge registriert Cliptomaner, wenn sein Opfer eine Bitcoin-Adresse (etwas mittels Strg+C oder mit Rechtsklick und "Kopieren") in das Clipboard kopiert, um diese im Zuge einer Transaktion per Copy-and-Paste weiterzuverwenden. Er ersetzt die Adresse in der Zwischenablage dann gegen eine Bitcoin-Adresse der Schadcode-Entwickler. Einige Varianten sollen es stattdessen auf die Währung Monero abgesehen haben.

Besonders perfide daran ist, dass mancher Nutzer sich vermutlich tatsächlich nicht die Mühe macht, nach dem Einfügen einen zweiten Blick auf die Kette aus alphanumerischen Zeichen zu werfen. Und dass die Überweisung aktiv durch den (ahnungslosen) Nutzer vorgenommen wird.

Als Reaktion auf den Tweet des Forschers wies ein anderer Twitter-Nutzer auf einen kuriosen Bugreport für das grafische User-Interface "Dear ImGui" hin, der im April dieses Jahres angelegt wurde. Darin schilderte ein Nutzer ein vermeintliches Copy-and-Paste-Problem im Zusammenhang mit dem Programm.

Bei dem hier beschriebenen "gibberish text" handelte es um eine von Cliptomaners Bitcoin-Adressen.

(Bild: Screenshot)

Die Entwickler rätselten eine Weile um die Ursache des Problems. Die Lösung war letztlich ein ziemlich dummer Bug in Cliptomaner, der sich auf dem betreffenden System eingenistet hatte: Der Schadcode hatte den Teststring "111111111111111111111111111111111\n" im Clipboard mit seinen 34 Zeichen fälschlicherweise als Bitcoin-Adresse identifiziert und ihn entsprechend durch eine solche ersetzt. "So really I just found a bug in the dumb virus", kommentierte einer der Entwickler.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ovw)