Microsoft anuncia nova ameaça de malware de clipboard criptografado: pode se propagar de forma oculta e sequestrar endereços de carteiras de ativos digitais

Deep Tide TechFlow Notícias, 19 de junho, a equipe de inteligência de ameaças da Microsoft divulgou uma ameaça de Trojan de clipboard criptografado do Windows ativo desde fevereiro de 2026, que combina "propagação tipo verme + sequestro de clipboard + comunicação anônima via Tor", visando usuários de ativos digitais.

A análise da Microsoft aponta que esse malware se espalha por meio de atalhos falsificados (.lnk) em dispositivos de armazenamento removível, e utiliza WScript e ActiveX para executar lógica de script, implantando automaticamente um cliente Tor local para controle anônimo e retorno de dados. A cadeia de ataque inclui múltiplas capacidades maliciosas: monitoramento contínuo do conteúdo do clipboard, roubo de frases de recuperação e chaves privadas, captura de tela e upload, além de realizar "substituição de endereço" quando o usuário copia um endereço de criptomoeda, trocando o endereço alvo pelo endereço de carteira controlado pelo atacante, possibilitando o sequestro de fundos.

Além disso, esse Trojan possui capacidade de propagação tipo verme, podendo copiar-se automaticamente em dispositivos como pen drives, criar tarefas agendadas para manter a persistência, e possui capacidades básicas de contra-análise (detectando o Gerenciador de Tarefas para evitar depuração).

Na camada de detecção, a Microsoft já o identificou como parte da série Trojan:Win32/CryptoBandits, e realiza interceptação com base em características comportamentais (como chamadas anormais do WScript, tráfego de proxy localhost:9050 e comportamento de captura de tela via PowerShell). Pesquisadores de segurança recomendam focar na proteção contra caminhos de execução de scripts e monitorar tráfego anômalo de proxy local.