- A Microsoft Defender identifica o malware Trojan/CryptoBandits, classificado como crypto clipper, ativo desde fevereiro e que se espalha por pen drives por meio de atalhos com extensão .lnk.
- Ao clicar no atalho, o worm se instala e permanece ativo, buscando infectar novos pen drives conectados.
- O código monitora a área de transferência para capturar seed phrases ou chaves privadas, enviando os dados ao servidor dos criminosos pela rede Tor.
- O malware também tira cinco capturas de tela em intervalos de dez segundos e envia as imagens aos atacantes.
- Ao copiar endereço de carteira para transferência, o vírus substitui o destino por outro controlado pelo invasor, tornando a fraude difícil de detectar; a Microsoft recomenda desativar AutoRun, bloquear arquivos .lnk em pen drives e restringir scripts.
A Microsoft identificou um malware que se dissemina por pen drives e mira carteiras de criptomoedas em computadores com Windows. A ameaça, classificada como crypto clipper, está ativa desde fevereiro e tem como objetivo monitorar o que é copiado pelo usuário para substituir endereços de carteira, desviando transações. O Trojan/CryptoBandits foi detectado pelo antivírus Defender.
Ao inserir um pen drive comprometido, o usuário encontra um atalho malicioso. Ao ser acionado, esse atalho instala um worm que se replica automaticamente e permanece ativo para roubar dados de carteiras e esperar por novos pen drives limpos para infectar. Em paralelo, o malware monitora a área de transferência com repetição rápida ao copiar seed phrases ou chaves privadas, enviando os dados para um servidor de comando e controle via rede Tor.
Além do roubo de criptomoedas, o malware faz capturas de tela e as envia aos criminosos, ampliando o conjunto de informações de interesse do atacante. Caso o usuário copie o endereço de uma carteira para envio de fundos, o software substitui o endereço por outro controlado pelo atacante antes do envio, potencialmente redirecionando recursos.
Medidas de proteção
A Microsoft recomenda desativar o AutoRun em mídias removíveis, bloquear a execução de arquivos .lnk em pen drives por políticas de grupo e restringir a utilização de scripts como wscript.exe e cscript.exe. Clientes do Defender podem realizar buscas por sinais da ameaça, incluindo conexões com um proxy Tor na porta 9050.
A empresa também disponibiliza indicadores de comprometimento, como hashes de arquivos e domínios .onion usados para comando e controle, para que equipes de segurança verifiquem redes afetadas. O alerta reforça a cautela com seed phrases e chaves privadas: não devem ser inseridas ou copiadas em computadores com acesso à internet ou de procedência duvidosa.
Orientações adicionais
Recomenda-se verificar manualmente os primeiros e últimos caracteres de endereços de destino antes de confirmar transações, e evitar o uso de pen drives desconhecidos. A propagação por USB aumenta o risco em ambientes domésticos e corporativos, destacando que a proteção de carteiras depende de práticas digitais seguras, além de mecanismos de segurança do dispositivo utilizado para transações.
Entre na conversa da comunidade