USB-stick met verborgen malware trekt je crypto-wallet leeg zonder dat je het merkt
Microsoft waarschuwt voor malware die je crypto-wallet leegtrekt door stiekem je wallet-adres te verwisselen. Zo bescherm je jezelf.
Je kopieert een wallet-adres, plakt het in het overboekingsveld en stuurt je crypto op weg. Wat je niet weet: op het moment van plakken heeft malware dat adres stiekem vervangen door een adres van een aanvaller. Je geld verdwijnt, en je ziet het pas als je na de bevestiging het ontvangende adres controleert. Dat is de kern van een actieve malwarecampagne waarvoor Microsoft deze week waarschuwt.
Het gaat om een zogeheten "crypto clipper", die Microsoft identificeert als Trojan:Win32/CryptoBandits. De malware is actief sinds ten minste februari 2026, richt zich op Windows-pc's en verspreidt zich via gewone USB-sticks.
Hoe raakt je pc besmet?
Het begint met een geïnfecteerde USB-stick. Daarop staat een kwaadaardig snelkoppelingsbestand, herkenbaar aan de extensie .lnk, maar verder niet zichtbaar anders dan een normaal bestand. Open je dat bestand, dan wordt stiekem een worm geïnstalleerd.
Die worm is slim geprogrammeerd: hij blijft continu draaien op de achtergrond en wacht ook actief tot je een nieuwe, schone USB-stick aansluit. Zodra dat gebeurt, kopieert de malware zichzelf ernaartoe. Zo verspreidt hij zich verder, van pc naar pc, via iedere USB-stick die in de besmette computer gaat.
Bovendien heeft de malware een extra verspreidingstruc: hij scant je computer en aangesloten USB-opslag op documenten (Word-bestanden, Excel-sheets, PDF's), verbergt de originelen en vervangt ze door identiek genoemde snelkoppelingen. Klik je later op wat eruitziet als jouw factuur of je eigen cv, dan start je onbewust de malware opnieuw op.
Wat doet de malware precies met je crypto?
De malware checkt elke halve seconde je Windows-klembord, dat stukje geheugen waar tekst naartoe gaat als je iets kopieert. Hij zoekt specifiek naar:
- Seed phrases van 12 of 24 woorden (het BIP39-formaat dat de meeste crypto-wallets gebruiken)
- Private keys van Ethereum en Bitcoin, wallet-adressen van Bitcoin, Tron en Monero
Een korte uitleg voor wie niet bekend is met deze termen: een seed phrase is een reeks woorden die als hoofdsleutel dient voor je hele crypto-wallet. Wie jouw seed phrase heeft, heeft toegang tot al je crypto, permanent. Een private key werkt vergelijkbaar, maar dan voor één specifiek adres.
De gevaarlijkste truc is de adresverwisseling. Crypto-adressen zijn lange reeksen letters en cijfers die niemand handmatig intypt. Je kopieert een adres, plakt het in, en verstuurt. De malware grijpt in op het moment van kopiëren: het adres van de aanvaller dat hij in het klembord plaatst, begint bewust met dezelfde tekens als jouw originele adres. Kijk je even vluchtig, zie je geen verschil.
Blockchaintransacties zijn onomkeerbaar. Is de overboeking eenmaal bevestigd, dan is het geld weg.
Hoe stuurt de malware de data weg?
Gestolen gegevens, inclusief screenshots die de malware maakt, worden verstuurd via het Tor-netwerk. Daarvoor heeft de malware een eigen Tor-client meegebracht (een bestand genaamd ugate.exe) en verbindt hij zich via een lokale SOCKS5-proxy met een verborgen zogeheten .onion-server van de aanvaller. Microsoft benoemt dit als opvallend: doordat er geen zichtbaar IP-adres en geen traditionele installatiesoftware bij komt kijken, is de malware moeilijker te detecteren en blokkeren. Een klembord-steler wordt zo ook een lichte achterdeur naar je systeem.
De malware borgt zijn eigen voortbestaan via een geplande taak in Windows die actief controleert of er nieuwe USB-opslag wordt aangesloten, zodat het verspreiding nooit stopt.
Wat kun je doen om jezelf te beschermen?
Microsoft geeft concrete stappen voor Windows-gebruikers:
- Schakel AutoRun uit. Dit is de Windows-functie die automatisch software uitvoert zodra je een USB-stick aansluit. Via Groepsbeleid of registerinstellingen is dit te blokkeren.
- Blokkeer het uitvoeren van
.lnk-bestanden op USB-media. Een systeembeheerder kan dit via Groepsbeleid instellen; thuisgebruikers kunnen hiervoor beveiligingssoftware gebruiken. - Beperk script hosts. Windows Script Host en PowerShell-scripts zijn veelgebruikte aanvalsvectoren; beperk wie deze mag uitvoeren.
- Controleer je wallet-adres altijd karakter voor karakter vóór je een transactie bevestigt, nooit alleen de eerste paar tekens.
- Bewaar seed phrases en private keys nooit digitaal op een apparaat dat verbonden is met internet. Pen en papier, in een veilige plek, is hier de gouden standaard.
Bewaar je crypto regelmatig op een hardware wallet (een fysiek apparaat dat losstaat van je pc), dan heeft een clipper-malware geen toegang tot je klembord tijdens transacties.
Hoe weet je of je al besmet bent?
Microsoft heeft samen met de waarschuwing indicators of compromise gepubliceerd: technische kenmerken waarmee je kunt controleren of de malware actief is op je netwerk of pc. Beheerders en technisch onderlegde gebruikers kunnen de volledige details terugvinden in de blogpost van het Microsoft Defender Security Research Team van 17 juni 2026.
Microsoft Defender Antivirus detecteert de malware als Trojan:Win32/CryptoBandits. Zorg er dus voor dat je virussoftware up-to-date is en dat automatische scans actief zijn.
Wat volgt?
Microsoft heeft de indicators of compromise openbaar gepubliceerd, zodat beveiligingsteams wereldwijd hun netwerken kunnen controleren. Naarmate meer organisaties de malware actief blokkeren, is het aannemelijk dat de aanvallers hun methode aanpassen. Houd beveiligingsupdates van Windows en je antivirussoftware bij, en controleer bij iedere crypto-overboeking handmatig het volledige ontvangstadres.
Bronnen: Microsoft Defender Security Research Team
Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.