Microsoft waarschuwt voor malware die crypto-adressen vervangt

Microsoft waarschuwt voor een Windows-clipper die crypto-adressen op het klembord vervangt voordat gebruikers een transactie verzenden. CryptoBandits.A raakt daarmee Bitcoin, Tron, Monero en andere gebruikers precies op het moment waarop gemak vaak wint van controle.

De campagne loopt volgens Microsoft sinds februari 2026. De malware steelt klemborddata, maakt screenshots, gebruikt Tor voor communicatie met de aanvaller en kan walletadressen vervangen door adressen onder controle van de aanvaller.

Microsoft Defender Antivirus detecteert de dreiging als Trojan:Win32/CryptoBandits.A. Andere onderdelen verschijnen in Defender-detecties als CryptoBandits.B en JavaScript-varianten.

CryptoBandits.A is een crypto-clipper. Dat type malware kijkt mee met wat een gebruiker kopieert. Zodra het patroon op een walletadres lijkt, kan de malware het adres vervangen voordat de gebruiker het plakt.

Even simpel gezegd Een clipper kijkt naar je klembord. Kopieer je een walletadres, dan kan malware dat adres verwisselen. Jij ziet een lange reeks tekens en klikt te snel op verzenden. Bij crypto is zo’n fout meestal niet terug te draaien.

Microsoft schrijft dat de malware na registratie bij zijn verborgen C2-server in een continue lus draait. Het programma controleert het klembord ongeveer elke 500 milliseconden, zoekt naar walletpatronen en kan seed phrases, private keys en adressen onderscheppen.

Dat maakt de aanval verraderlijk. De gebruiker denkt naar zijn eigen wallet, exchange of bekende ontvanger te sturen. In werkelijkheid kan het ontvangstadres al zijn aangepast.

Veel cryptogebruikers controleren alleen de eerste en laatste tekens van een adres. Dat is begrijpelijk, maar gevaarlijk. Adressen zijn lang, saai en slecht leesbaar.

CryptoBandits.A speelt precies op die gewoonte in. Microsoft beschrijft dat de stealer bij verschillende adresvormen vervangende adressen gebruikt die deels lijken op het origineel. Bij sommige Bitcoin-adressen matcht de malware bijvoorbeeld de eerste twee tekens of het laatste teken. Bij Tron-adressen kan ook de eerste tekens worden nagebootst.

Die kleine gelijkenis is genoeg om haastige gebruikers te misleiden. Wie alleen “bc1q” ziet en de laatste tekens vluchtig checkt, mist mogelijk de wissel.

Voor grote bedragen is dat fataal. Microsoft waarschuwde al eerder dat blockchaintransacties na bevestiging niet zomaar kunnen worden aangepast of teruggedraaid. Slachtoffers hebben meestal geen bankachtige herstelroute.

De malware komt niet alleen via een klassieke download binnen. Microsoft zag schadelijke .lnk-snelkoppelingen op USB-opslagmedia. Die snelkoppelingen kunnen legitieme bestanden nabootsen en de gebruiker laten denken dat hij een normaal document opent.

De wormcomponent scant verwijderbare media op veelvoorkomende bestanden zoals .doc, .xlsx en .pdf. Daarna verbergt hij originele bestanden en maakt hij nieuwe snelkoppelingen met dezelfde namen. De gebruiker ziet dus iets vertrouwds, maar start malware.

Dit maakt de waarschuwing breder dan crypto alleen. Een computer waarmee iemand wallets beheert, hoort geen rommelige USB-werkplek te zijn. Zeker niet als daar hardware wallets, exchangeaccounts of seed-back-ups bij betrokken zijn.

Microsoft adviseert onder meer AutoRun en AutoPlay voor verwijderbare media uit te schakelen, .lnk-uitvoering vanaf USB-drives te blokkeren en scriptgebruik via WScript en CScript te beperken waar dat kan.

Een hardware wallet verkleint het risico, maar lost deze aanval niet automatisch op. Het apparaat toont normaal het ontvangstadres of transactiedetails voordat de gebruiker tekent. Die stap heeft alleen waarde als de gebruiker het adres echt vergelijkt.

Wie blind op bevestigen klikt, geeft het voordeel weg. De malware hoeft de private key dan niet te stelen. Een vervangen ontvangstadres is genoeg.

Seed phrases vormen een tweede pijnpunt. Microsoft beschrijft dat CryptoBandits.A zoekt naar seed phrases en private keys die passen bij walletpatronen.

Een seed phrase hoort daarom nooit in het klembord. Niet in een notitie-app, niet in een screenshot, niet in een document en niet “heel even” tijdens herstel van een wallet. Zodra die woorden digitaal bestaan op een besmet systeem, heeft de aanvaller mogelijk genoeg.

De beste verdediging begint niet met een ingewikkelde tool. Controleer het volledige ontvangstadres voordat je verzendt. Bij grotere bedragen hoort eerst een kleine testtransactie.

Gebruik ook geen onbekende USB-sticks op een systeem waarmee je crypto beheert. Houd Windows, browser, walletsoftware en beveiligingssoftware actueel. Microsoft noemt Defender-detecties voor deze dreiging, maar updates en gedrag blijven allebei belangrijk.

Exchanges met adresboeken of opname-whitelists bieden extra bescherming. Een whitelist voorkomt niet elke aanval, maar maakt het moeilijker om ongemerkt naar een nieuw aanvallersadres te sturen.

Voor bedrijven en powerusers noemt Microsoft vooral gedragsdetectie: verdachte scriptprocessen, localhost:9050-activiteit, Tor-verkeer via curl, PowerShell-screenshots en signalen van klembordinspectie.

Crypto-beveiliging klinkt vaak groot: cold storage, self-custody, hardware wallets en private keys. Deze campagne laat zien dat de zwakke plek soms veel kleiner is.

Een wallet kan goed zijn. De blockchain kan correct werken. De exchange kan betrouwbaar zijn. Als het adres op het klembord wordt vervangen, gaat het alsnog mis.

Microsofts waarschuwing is daarom relevant voor bijna iedere cryptogebruiker. Niet omdat iedereen besmet is, maar omdat bijna iedereen hetzelfde doet: adres kopiëren, plakken, vluchtig controleren en verzenden.

Precies daar wacht CryptoBandits.A.