Neue Trojaner-Attacke gefährdet Krypto-Nutzer – Vorsicht vor gefälschter PDF-Software!

Cyberkriminelle haben es mit einer neuen Trojaner-Attacke auf Kryptowährungs-Nutzer abgesehen. Die Schadsoftware tarnt sich als Programm namens "pdf-to-office", welches angeblich PDF-Dateien in Microsoft Office-Formate konvertiert. Wie Crypto News berichtet, infiltriert der Trojaner lokale Installationen bekannter Web3-Wallets wie Atomic Wallet und Exodus.

Analysen von ReversingLabs (RL) zeigen, dass sich die Malware über den npm-Paketmanager verbreitet, eine weitverbreitete Plattform für JavaScript- und Node.js-Entwickler. Nach Ausführung des "pdf-to-office"-Pakets schleust der Trojaner heimlich bösartige Code-Änderungen in die lokal installierten Wallet-Anwendungen ein. Diese manipulierten Code-Abschnitte ersetzen die ursprünglichen Funktionen und ermöglichen es den Angreifern, Krypto-Transaktionen abzufangen und umzuleiten. Nutzer, die Kryptowährungen senden, bemerken die Manipulation nicht, da ihre Transaktionen unbemerkt auf ein von den Angreifern kontrolliertes Wallet umgeleitet werden.

Die Angreifer verwenden eine subtile, aber immer häufiger angewandte Taktik: Anstatt Open-Source-Pakete direkt zu manipulieren, schleusen sie Schadcode in lokale Systeme ein, indem sie bereits installierte Software auf dem Rechner des Opfers verändern. Das "pdf-to-office"-Paket tauchte erstmals im März 2025 auf npm auf und wurde seitdem in mehreren Versionen veröffentlicht. Die aktuellste Version (1.1.2) wurde am 1. April veröffentlicht. RL-Forscher entdeckten das Paket mithilfe maschineller Lernverfahren zur Verhaltensanalyse auf der Spectra Assure-Plattform. Der Code enthielt verschleierten JavaScript-Code, ein häufiges Indiz für aktuelle npm-Malware-Kampagnen.

Besonders problematisch ist, dass die Auswirkungen der Schadsoftware auch nach der Deinstallation des bösartigen Pakets bestehen bleiben. Betroffene Nutzer müssen ihre Wallet-Anwendung vollständig deinstallieren und neu installieren, um die Trojaner-Komponenten zu entfernen und die Sicherheit ihres Wallets wiederherzustellen.

Auch Kaspersky warnt vor neuer Malware, die auf Krypto-Nutzer abzielt. CryptoTvplus berichtet, dass Hacker Schadprogramme in Microsoft Office-Add-Ins verstecken, die Krypto-Adressen manipulieren. Die Malware wird über gefälschte Microsoft Office-Erweiterungen auf SourceForge verbreitet und ersetzt die kopierte Krypto-Wallet-Adresse des Opfers durch die Adresse des Angreifers.

Das kalifornische Department of Financial Protection and Innovation (DFPI) dokumentiert auf seiner Webseite verschiedene Krypto-Betrugsfälle, darunter auch solche, die betrügerische Handelsplattformen nutzen. Diese Fälle unterstreichen die Notwendigkeit erhöhter Vorsicht im Umgang mit Kryptowährungen und unbekannten Software-Downloads.

Quellen:

• https://cryptonews.net/news/security/30800002/
• https://en.bitcoinsistemi.com/new-trojan-alert-affecting-cryptocurrency-users-dont-download-the-file-with-this-name/
• https://www.reddit.com/r/CryptoCurrency/comments/1jehzzw/microsoft_has_discovered_a_new_trojan_stilachirat/
• https://en.bitcoinsistemi.com/donald-trumps-cryptocurrency-project-responds-to-allegations-of-dumping-large-amounts-of-altcoins/
• https://dfpi.ca.gov/consumers/crypto/crypto-scam-tracker/
• https://cryptotvplus.com/2025/04/hackers-crypto-malware-office-add-ins/
• https://www.malwarebytes.com/blog/detections/bitcoinminer-trojan-miner-dds
• https://support.kaspersky.com/us/common/disinfection/8547
• https://cryptonews.com/news/fake-microsoft-extensions-embed-malware-to-steal-crypto-report/