Ledger "clipboard hijacking Attacke", beinahe Coins verloren

Hallo zusammen,

ich schreibe „normalerweise“ nicht in Foren, sondern versuche mir immer zuerst selbst zu helfen. Klappt aber nicht immer……dies ist z.B. so ein Fall…… ;-)

Ich muss kurz etwas ausholen:
Ich bin in Besitz eines Ledger Nano X, auf dem nur Schrottcoins liegen und einer BitBox, auf welcher das tatsächliche Gold liegt.

Gestern habe ich bei Binance etwas Schrott gekauft und wollte diesen auf den Ledger schicken. Ich habe den Ledger angeschlossen, die Adresse auf dem Rechner und auf dem Ledger geprüft, kopiert und anschließend bei Binance als Empfangsadresse eingefügt.
Dann sah ich, dass bei Binance „eine ganz andere Adresse stand als ich kopiert habe“. OK, dachte ich, noch mal kopieren…jedoch mit dem selben Ergebnis.
Ich habe dann einige Tests mit anderen Konten und Copy / Paste gemacht und gemerkt, dass es nur Coins betrifft, die auf Ethereum basieren.
Auf einem anderen Rechner habe ich zusätzlich Ledger Live installiert und die selben Tests durchgeführt. Auf diesem Rechner läuft alles einwandfrei!!!
Ab diesem Zeitpunkt wusste ich, dass hier etwas nicht stimmen kann.
Nach kurzer Recherche soll es sich wohl um eine clipboard hijacking Attacke handeln. OK, no panic…….

Schnell einen kompletten Virenscan über den Rechner laufen lassen, dann hat sich das Problem schnell erledigt…dachte ich….
Laut Virenscan ist der Rechner sauber, was aber unmöglich sein kann.

Jetzt zu meiner eigentlichen Frage:
Wenn ich den Virus richtig interpretiere, merkt dieser, wenn ich eine Ethereum Adresse kopiere, denn nur dann tauscht dieser nach wenigen Sekunden durch die im Virus hinterlegt Adresse in der Zwischenablage meines Windows aus. Wenn ich einen anderen, beliebigen Text kopiere, passiert gar nichts! Alles läuft fein……
Da mein Scan keinen Virus erkannt hat, muss ich mich selbst auf die Suche machen.
Während die Adressen vom Virus getauscht werden (also genau in diesem Moment), muss im Hintergrund des Systems doch „irgendetwas“ ausgeführt werden.
Ist es möglich, genau diesen Schritt irgendwie zu sehen / loggen, damit ich sehen kann, wo sich der Übeltäter versteckt?

Ich möchte ungern das System neu aufsetzen. Zwar habe ich örtlich getrennte Backups, aber ich vermute, dass mein System schon sehr lange infiziert ist. Diese Arbeit kann ich mir sicher sparen…….

Danke das Ihr euch Zeit nehmt, meinen Roman durchzulesen.

Tom

5 „Gefällt mir“

schreib bitte noch welches betriebssysterm bitte…

Oh, vergessen…
Es handelt sich um Windows 10

Danke

Das nennt sich Clipboard-Malware. Alle 300ms wird überprüft, ob sich ein Text in der Zwischenablage befindet. Wenn dieser Text mit einem bestimmten Regex (Ethereum-Adresse) übereinstimmt, wird der Inhalt durch die Adresse des Angreifers ersetzt.

Antivirenprogramme bringen meist auch wenig, da gute Schadsoftware von den meisten AVs nicht erkannt wird, weil der Code oft verschleiert ist… lad dir mal ProcessHacker runter und schau, welcher Prozess getriggert wird, wenn du eine ETH-Adresse in die Zwischenablage kopierst.

Warum machst du darauf dann überhaupt etwas mit Crypto?? Es ist wahrscheinlich, dass dort nicht nur Clipboard-Malware installiert ist, sondern auch ein Info-Stealer, der alle deine Daten klaut. Ich würde das System schnell neu installieren.

Steige auf Linux Mint um, dort ist es weniger wahrscheinlich, dass du infiziert wirst.

3 „Gefällt mir“

Sagte er ja, Windows 10. :upside_down_face:

5 „Gefällt mir“

Danke, werde ich machen.

Mir ist es gestern erst aufgefallen.
OK, dann muss ich in den sauren Apfel beißen und den Rechner neu aufsetzen, hilft nichts…

Ja, dass wollte ich nun sowieso machen. Aber nun auf einem komplett nur dafür zu verwendenden Rechner.
Ich brauche den W10 Rechner gewerblich. Die SPLM Software läuft leider nicht unter Linux.

Danke an alle

Tom

1 „Gefällt mir“

Kannst auch ein Linux installieren und W10 per Kvm/Qemu virtualisieren. Läuft bei mir mit Win11 und Fedora als Host. Brauch leider noch ein Windows wegen Wiso Steuer.

1 „Gefällt mir“

OK, werde ich im Hinterkopf behalten.

Wie sicher wäre es, ein Linux als VM unter Windows laufen zu lassen?

Tom

Glaube nicht sonderlich sicher, dass Clipboard läuft ja über den Host.

Stimmt auch wieder…
OK, ich werde mich wohl grundsätzlich anders aufstellen müssen.

Vielen Dank an alle.

Tom

1 „Gefällt mir“

Sorry das ich noch mal stören muss…
So richtig komme ich mit dem ProcessHacker nicht klar.
Was mir aber aufgefallen ist, dass, wenn ich die ETH Adresse kopiere, 2 Sekunden später ein PowerShell Prozess startet und sofort wieder schließt.

Gibt es vielleicht W10 Bordmittel, mit welchen ich herausfinden kann, welches Script genau gestartet wird?

Tom

1 „Gefällt mir“

du störst NICHT, sehr interessantes thema…

EDIT: zu dem ich allerdings nichts beitragen kann :joy:

1 „Gefällt mir“

Ich google das mal für Dich. :slightly_smiling_face:

1. Enable Windows 10 Clipboard History: Go to Settings > System > Clipboard and toggle the switch to “On”. This feature stores a list of recently copied items, making it easier to identify and remove malicious clipboard activity.

1 „Gefällt mir“

Bei deinem Windowsproblem kann ich nicht helfen.

Ein Tipp zu Linux ohne Windows platt zu machen,.
Du könntest ein Linux-Live-System von einem USB-Stick verwenden. Hat aber den Nachteil, dass nach jedem Neustart die Ledger-Software wieder neu installiert werden muss.

Hier: Linux auf USB-Stick installieren – so geht's ist eine Möglichkeit beschrieben, wie man die Änderungen am Live-System speichern kann(Linux nur über USB-Stick verwenden (Persistenz-Methode)).

Dein Windows würde ich aber trotzdem platt machen. Was ist, wenn der Virus auch Passwörter abgreift und nach Hause schickt?

1 „Gefällt mir“

Danke, habe ich aktiviert. Man sieht dann, was in der Zwischenablage passiert.

Wird auch gemacht, nur habe ich aktuell keine Zeit. Das ist bei mir ein riesiger Akt…

„Übergangsweise“ habe ich Powershell über die Gruppenrichtlinien deaktiviert.
Ich benutze, glücklicherweise, noch die veraltete Kommandozeile, welche für meine Zwecke mehr als ausreichend ist. Deswegen ist das aktuell die einfachste und schnellste Methode für mich.

Danke an alle für die nützlichen Tipps.

Tom

OMFG mir ist das letztens auch passiert. Ich habe die Addresse von Binance kopiert und bei mir reinkopiert und versendet…an eine falsche Addresse.

Ich dachte ich spinne, weil ich war lange nicht mehr auf Binance und die haben mir eine neue deposit Addresse gegeben und ich dachte ich habe noch die alte reinkopiert und ich hätte den Browser aktualisieren müssen oder so. Ich dachte fast das wär eine Binance Masche. Ich wollte hier auch im Forum fragen, aber dachte dann, dass es eigentlich meine eigene Blödheit war. Naja, zum Glück war es nur ein kleiner Krypto betrag.

Funktioniert das mit dem „Abgreifen“ auch unter Android?

Das Problem ist tatsächlich Windows, ein System, bei dem du nur zu Gast bei Microsoft bist und niemals Souveränität über deine Hardware erlangen wirst.

Die sicherste Investition in deine (finanzielle) Freiheit dürfte tatsächlich ein Umstieg auf Linux sein. Oder wenigstens ein Wechsel zu MacOS.

Dieser Umstieg - von Windows zu Linux - ist, wenn du erst mal alles im Griff hast, genauso befreiend und bereichernd, wie der Wechsel vom Postbank-Sparbuch zur Bitbox ;-)…

1 „Gefällt mir“

Ja, habe ich mir auch gedacht…in welchem Film bin ich…
Naja, Gott sei Dank noch mal gut geganen.

Eine INFO, die vielleicht für den ein oder anderen ein Anstoß ist.

Da ich beruflich leider auf Windows angewiesen bin, ohne Ausnahme, werde ich folgendes machen:
Mein Fujitsu M770 Power wird neu mit W11 aufgebaut. Darauf läuft dann alles wie bisher.
Ich habe mir gestern ein 12,5" DELL Notebook ersteigert, auf dem Linux experimentel laufen soll. Nur auf diesem Notebook wird in Zukunft mit Crypto gearbeitet.
Mit Linux hatte ich bisher nichts zu tun, außer auf dem Synology NAS. Da muss ich mich erst mal langsam rantasten.

Tom

Ja, funktioniert auf jedem OS, wenn du dir den Virus einfängst. Egal ob iOS, Linux, Android.

1 „Gefällt mir“