Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows & Microsoft 365 19.06.2026 · 3 min Lesezeit

Windows-Clipper-Malware: USB-LNK-Wurm kapert Krypto-Transaktionen über Tor-C2

Microsoft, The Hacker News und BleepingComputer über Windows-Clipper-Kampagne per USB-LNK-Wurm mit Tor-C2-Infrastruktur. Für Admins: search-ms-Sperre, AutoPlay, ASR.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Redaktionelle IT-News-Grafik zu Windows-Clipper-Malware: USB-LNK-Wurm kapert Krypto-Transaktionen ueber Tor-C2

Microsoft hat Details zu einer aktiven Windows-Clipper-Kampagne veröffentlicht, die sich über USB-LNK-Dateien verbreitet und Tor-basierte Command-and-Control-Infrastruktur nutzt. Die Kampagne wurde vom Microsoft Threat Intelligence Center (MSTIC) identifiziert und wird von The Hacker News, BleepingComputer und heise online bestätigt. Für Admins ist die Meldung relevant, weil sie gleich mehrere klassische Schwachstellen im Endpoint-Schutz zusammenführt: unzureichend gehärtete USB-Autoplay-Funktionen, vertraünswürdige Windows-Protokolle als Angriffsvektor und fehlende Sichtbarkeit auf Tor-Netzwerkverkehr.

Meldung und Einordnung

Die Clipper-Malware ist keine neue Gattung - sie existiert seit etwa 2020 in verschiedenen Formen. Neu ist die Kombination aus USB-LNK-Wurm-Mechanismus und Tor-basierter C2-Infrastruktur. Der Angriff zielt auf Finanztransaktionen mit Kryptowährungen ab: Sobald ein Nutzer eine Wallet-Adresse kopiert, ersetzt die Malware diese im Zwischenspeicher durch eine vom Angreifer kontrollierte Adresse. Das Opfer sendet die Zahlung unwissentlich an den Angreifer.

Besonders tückisch ist der Infektionsweg. Die Malware enthält kein ausführbares Binary auf dem USB-Stick. Stattdessen nutzt sie eine manipulierte LNK-Datei, die das Windows-spezifische search-ms:-Protokoll ausnutzt. Dieses Protokoll ist standardmässig aktiviert und erlaubt das Abrufen von Inhalten über Netzwerkfreigaben - auch über Tor-Verbindungen zu Hidden Services. Die LNK-Datei verweist auf eine schadhafte HTML-Anwendung (HTA) auf einem .onion-Server, die über mshta.exe ausgeführt wird.

Technische Details für Admins

Der vollständige Angriffsablauf umfasst mehrere Schritte:

PhaseTechnischer AblaufBetroffene Komponente
1. VerbreitungUSB-Stick mit manipulierter LNK-Datei (Tarnung als Rechnung)AutoPlay-Standardkonfiguration
2. AuslösungLNK ruft search-ms-URI auf .onion-Hidden-Service aufWindows Search search-ms-Protokoll
3. Payload-Ladungmshta.exe führt HTA-Datei vom Tor-Server ausLOLBin mshta.exe, Tor-Netzwerk
4. InstallationClipper-Trojan persistiert als Scheduled Task "WindowsClipboardSync"Task Scheduler, Registry Run Keys
5. Clipboard-OverrideRegex-Erkennung von Bitcoin, Ethereum, Monero-AdressenClipboard-API, user32.dll
6. C2-KommunikationUpdates der Ersatz-Adressen über Tor Hidden Service V3Tor SOCKS5-Proxy

Risiko für KMU und Betrieb

KMU sind besonders gefährdet, weil USB-Sticks in kleinen Unternehmen oft unkontrolliert wandern. Wer auf einer Messe einen USB-Stick geschenkt bekommt oder Kunden-Dokumente auf USB erhält, wird ohne böse Absicht zum Eintrittspunkt. Viele KMU nutzen AutoPlay in der Standardkonfiguration.

Für Unternehmen mit Kryptowährungszahlungen im E-Commerce oder bei internationalen Dienstleistungen besteht zusätzlich ein finanzielles Risiko. Ein einzelner manipulierter Zahlungsvorgang kann erheblichen Schaden verursachen.

Was Admins jetzt prüfen sollten

  1. search-ms-Protokoll sperren: In GPO: Windows-Komponente > Windows Search > "Auf Netzwerkfreigaben zugreifen" auf "Deaktiviert" setzen
  2. AutoPlay deaktivieren: GPO: Windows-Komponente > AutoPlay-Richtlinien > "Automatische Wiedergabe" deaktivieren
  3. ASR-Regeln aktivieren: Attack Surface Reduction "Blockieren ausgehender Prozesse von USB-Wechseldatenträgern" im Block-Modus
  4. LOLBin-Einschränkung: AppLocker/WDAC: mshta.exe, rundll32.exe, powershell.exe nur von autorisierten Pfaden
  5. Tor-Verkehr erkennen: Defender for Endpoint auf Tor-Verbindungen konfigurieren, SOCKS5 blockieren
  6. Defender-Signale prüfen: Aktuelle Signaturen erkennen LNK-Dateien mit search-ms-URIs
  7. Clipping-Schutz: Clipboard-Zugriffe protokollieren, ungewöhnliche Zugriffe blockieren

Betriebscheck nach der Meldung

  1. USB-Richtlinie existiert und wird regelmässig geschult?
  2. AutoPlay ist in GPO deployed, nicht nur lokal konfiguriert?
  3. Defender ASR-Regeln im Block-Modus, nicht nur Audit-Modus?
  4. AppLocker/WDAC auf neue LOLBin-Varianten geprüft?
  5. Tor-Netzwerk-Verkehr wird segmentiert oder blockiert?
  6. Incident-Response-Plan deckt USB-basierte Infektionen ab?

Admin-Einschätzung

Die Kampagne ist technisch raffiniert, aber nicht neuartig. Gefährlich ist die Kombination aus alltäglichen Betriebsfaktoren: USB-Sticks gehören zum Arbeitsalltag, search-ms ist selten in GPO gehärtet, Tor-Verkehr wird ignoriert.

Für KMU ohne Security-Team: AutoPlay deaktivieren und search-ms blockieren. Beides ist in GPO mit wenigen Klicks umsetzbar. Wer ASR-Regeln im Block-Modus aktiviert, hat soliden Schutz.

Lehre: Angreifer setzen auf Betriebsblindheit gegenüber normalen Windows-Features. search-ms, AutoPlay und mshta.exe sind keine Sicherheitslücken, sondern nie hinterfragte Funktionen.

Passende Anleitungen auf S-EDV

  1. Windows-Installationsmedium erstellen - USB-Sticks als Infektionsvektor

Quellen

  1. The Hacker News: Microsoft details Windows Clipper malware campaign
  2. BleepingComputer: Windows Clipper malware spreads via USB LNK
  3. heise: Windows-Clipper-Schadsoftware per USB-LNK
Verwandt

Weiter lesen

Alle Artikel →
Redaktionelle IT-News-Grafik zu DragonForce: Missbrauch von Microsoft Teams Relays als C2-Tarnung
19.06.2026 ·3 min

DragonForce: Missbrauch von Microsoft Teams Relays als C2-Tarnung

Berichte beschreiben, dass DragonForce-Akteure Microsoft Teams Relays zur Tarnung von Backdoor.Turn-C2-Verkehr missbrauchen. Admins brauchen bessere Telemetrie. Der Artikel ordnet die Meldung für KMU, Admins und Betreiber praxisnah ein.
Microsoft Security Updates im Fokus: Professionelle IT News Grafik mit monatlichem Patch Management, Sicherheitsupdates, Priorisierung von Schwachstellen, Testprozessen und Cybersecurity Schutz für Windows Umgebungen.
18.06.2026 ·3 min

Microsoft Security Updates: Warum der monatliche Patch-Prozess saubere Priorisierung braucht

Microsoft veröffentlicht Sicherheitsupdates regelmäßig gebündelt. Für Admins zählt danach nicht nur Installation, sondern klare Priorisierung nach Rolle, Exposition und Ausnutzbarkeit.
Warnmeldung zu „RoguePlanet“: Ein ungepatchter Zero-Day in Microsoft Defender ermöglicht auf vollständig aktualisierten Windows-10- und Windows-11-Systemen eine lokale Rechteausweitung bis SYSTEM.
11.06.2026 ·4 min

Microsoft Defender: Ungepatchter „RoguePlanet"-Zero-Day gewährt SYSTEM-Rechte auf Windows 10/11

Sicherheitsforscher „Nightmare Eclipse" veröffentlichte am Juni-Patchday einen funktionierenden Exploit für eine ungepatchte Race-Condition in Microsoft Defender. Der Exploit öffnet eine SYSTEM-Shell auf vollständig gepatchten Windows-10/11-Systemen – kein Patch verfügbar.