In der Welt der Kryptowährungen stellt die Sicherheit der digitalen Vermögenswerte eine ständig wachsende Herausforderung dar. Während Hackerangriffe auf Kryptobörsen oder Softwareplattformen keine Seltenheit sind, offenbart ein neuer Fall eine weniger offensichtliche, aber sehr wirkungsvolle Angriffsmethode: Malware, versteckt in offiziellen Druckertreibern eines chinesischen Herstellers, die gezielt Bitcoin-Transaktionen manipuliert und damit hohe Summen erbeutet. Das betroffene Unternehmen, Procolored, mit Sitz in Shenzhen, geriet im Mai 2025 stark in Kritik, nachdem bekannt wurde, dass die Druckertreiber von Procolored eine Schadsoftware enthielten, die Kryptowährungsbesitzer hätte schädigen können. Die Malware tarnt sich dabei als Teil des offiziellen Treiberpakets und wurde über einen Vertriebsweg verbreitet, der viele Nutzer nicht als gefährlich einstufen würden – über USB-Treiber und Cloud-Speicher. Die Besonderheit an diesem Angriff liegt in der gezielten Manipulation der Zwischenablage: Sobald ein Nutzer seine Bitcoin-Wallet-Adresse in die Zwischenablage kopiert, ersetzt die Malware diese automatisch durch eine Adresse, die den Angreifern gehört.
Dieses Vorgehen führt dazu, dass geladene Transaktionen statt an die eigentliche Adresse an die Wallet der Kriminellen gesendet werden. Insgesamt wurden durch diese Masche laut Berichten rund 9,3 Bitcoin entwendet, was einem Wert von über 950.000 US-Dollar entspricht. Die Quelle der Infektion waren die Treiber für verschiedene Druckermodelle der Firma, die über den Cloud-Speicherdienst MEGA für Nutzer weltweit zugänglich gemacht wurden. Die Malware ist also nicht nur über lokale Geräte verbreitet worden, sondern konnte sich global ausbreiten, was die Gefahr und den potenziellen Schaden massiv erhöht.
Die Enthüllung dieser Sicherheitslücke durch den YouTuber Cameron Coward war ein wichtiger Meilenstein in der Aufdeckung. Während er bei Tests seines Procolored UV-Druckers die Malware entdeckte und diese von seiner Antivirus-Software als Wurm und Trojaner erkannt wurde, ignorierte der Hersteller die Warnhinweise zunächst und wies die Vorwürfe als Fehlalarm zurück. Erst nachdem die Problematik öffentlich diskutiert wurde und die Aufmerksamkeit von Spezialisten der Cybersicherheitsfirma G-Data erregt wurde, erfolgte eine gründliche Untersuchung. G-Data bestätigte, dass mehrere Treiberdateien mit zwei verschiedenen Schadprogrammen infiziert waren: Einem Backdoor namens Win32.Backdoor.
XRedRAT.A, der den Fernzugriff auf das System erlaubte, und einem speziell entwickelten Krypto-Stealer, der gezielt die Wallet-Adressen im Clipboard manipulierte. Procolored erklärte gegenüber den Ermittlern, dass die Schadsoftware vermutlich durch eine Kompromittierung der Lieferkette eingeschleust wurde. Demnach sollen infizierte USB-Geräte die Ursache gewesen sein, über die die infizierten Treiber hochgeladen und verbreitet wurden. Nach der Entdeckung wurden die betroffenen Treiber am 8.
Mai 2025 aus den Online-Repositories entfernt, und eine umfassende Bereinigung sollte sicherstellen, dass künftige Downloads sicher sind. Experten warnen jedoch eindringlich davor, sich allein auf diese Maßnahme zu verlassen. Die Art der Malware und ihr Wirkungsmechanismus machen herkömmliche Antivirenprogramme oft unzuverlässig bei der Erkennung. Gerade Nutzer, die in den letzten sechs Monaten Treiber von Procolored heruntergeladen haben, sollten dringend einen vollständigen Virenscan durchführen oder sogar eine Neuinstallation des Betriebssystems in Betracht ziehen, um sicherzugehen, dass keine Hintertüren oder Kopien des Schädlings verbleiben. Die Zwischenablage-Manipulation ist ein besonders heimtückischer Angriff, da Nutzer meist nicht hinterfragen, ob die kopierte Wallet-Adresse tatsächlich unverändert ist.
Die Übertragung von Kryptowährungen basiert grundsätzlich auf der Genauigkeit dieser Adressen, und eine einzige falsche Ziffer kann dazu führen, dass das Geld unwiederbringlich an die Angreifer geht. Insgesamt zeigt dieser Vorfall die wachsende Gefahr von Supply-Chain-Attacken im Bereich der digitalen Sicherheit. Hardware-Hersteller, die auf Softwarekomponenten angewiesen sind, müssen ihre Lieferketten besser absichern und regelmäßige Sicherheitsprüfungen durchführen, um solch gefährliche Kompromittierungen zu verhindern. Auch Endanwender sollten verstärkt auf offizielle Quellen achten und bei kritischen Downloads Sicherheitssoftware verwenden. Die Kombination aus einem hardwarebasierten Angriff – über USB-Treiber – und der Malware-Funktion erschwert die Abwehr zusätzlich, da die Schadsoftware in offiziellen, vermeintlich vertrauenswürdigen Treibern schlummert.
