In een recente ontdekking heeft Microsoft een gevaarlijke nieuwe vorm van cryptomalware blootgelegd die cryptowallet-adressen kan stelen via USB-sticks. Deze malware, die intern wordt aangeduid als CryptoBanditsis al sinds februari 2026 actief en heeft zich bewezen als een ernstige bedreiging voor cryptogeldgebruikers.
De malware maakt gebruik van een combinatie van een worm-component en een steler-component om zich te verspreiden en gevoelige informatie te buitmaken. Het verspreidt zich via kwaadaardige snelkoppelingsbestanden (.lnk-bestanden) op USB-drives, die automatisch worden verwerkt zodra je een USB-stick aansluit op een Windows-computer.
Hoe werkt CryptoBandits?
CryptoBandits is een geavanceerde vorm van clipper-malwaredie zich onderscheidt van traditionele clipper-malware door zijn vermogen om een backdoor te openen via het Tor-netwerk. Dit stelt aanvallers in staat om op afstand opdrachten uit te voeren, bestanden te downloaden en screenshots te maken van alles wat er op het scherm staat, inclusief seed phrases en private keys.
De malware verbergt zich door legitieme documenten op de USB te vervangen door nep-snelkoppelingen met dezelfde bestandsnamen. Wie op een van deze snelkoppelingen klikt, start in werkelijkheid het virus op. Daarnaast maakt de malware gebruik van ingebouwde Windows-tools zoals Windows Script Host, waardoor standaard bestandsdetectie het moeilijker herkent.
Waarom is CryptoBandits gevaarlijker dan traditionele clipper-malware?
Traditionele clipper-malware vervangt alleen het gekopieerde cryptowallet-adres in het klembord door het adres van de aanvaller. CryptoBandits gaat echter verder door ook een backdoor te openen via het Tor-netwerk. Dit maakt het mogelijk voor aanvallers om op afstand opdrachten uit te voeren, bestanden te downloaden en screenshots te maken van alles wat er op het scherm staat.
Daarnaast maakt de malware gebruik van scheduled tasks om actief te blijven na een herstart. Dit maakt het moeilijker om de malware te verwijderen en verhoogt het risico op gegevensverlies.
Wat kun je doen om je te beschermen?
Microsoft Defender Antivirus detecteert de malware als Trojan:Win32/CryptoBandits.A. Het is daarom belangrijk om ervoor te zorgen dat je Windows Defender up-to-date is. Daarnaast is het raadzaam om extra voorzichtig te zijn met USB-sticks van onbekende herkomst, ook van collega’s of op evenementen.
Het is ook belangrijk om nooit je seed phrase of private key op te slaan in een tekstbestand op je computer. Controleer voor elke cryptotransactie of het wallet-adres in het “aan”-veld exact overeenkomt met wat je wilde invullen, ook al heb je het net geplakt.
Door deze maatregelen te nemen, kun je het risico op infectie met CryptoBandits verminderen en je cryptogeld beter beschermen tegen deze gevaarlijke malware.
