De Roubo de Carteira a Controle Remoto: Microsoft Revela Uma Nova Onda de Malware Cripto que Alvoa Usuários do Windows | Metaverse Post

Resumidamente

A Microsoft descobre uma campanha de malware de clipper de criptomoedas usando infraestrutura baseada em Tor para roubar credenciais de carteiras, sequestrar transações e manter acesso remoto.

A empresa de tecnologia Microsoft relatou a descoberta de uma campanha de malware de clipper de criptomoedas baseada no Windows que tem atacado usuários desde fevereiro de 2026. A ameaça, identificada pela Microsoft Threat Intelligence e pelos especialistas do Microsoft Defender, combina roubo de clipboard, direcionamento de carteiras de criptomoedas e capacidades de acesso remoto para roubar ativos digitais e manter controle sobre sistemas comprometidos.

O malware foi projetado para interceptar informações sensíveis relacionadas a criptomoedas, incluindo endereços de carteira, frases-semente e chaves privadas. A Microsoft afirmou que a ameaça se espalha principalmente por meio de arquivos de atalho maliciosos (.lnk) distribuídos via unidades USB removíveis. Uma vez ativado, o malware implanta componentes adicionais que permitem persistência, coleta de dados e comunicação com infraestrutura controlada pelo atacante.

Ao contrário de campanhas tradicionais de malware que dependem de servidores visíveis de comando e controle, esta campanha usa um proxy Tor embutido para esconder a atividade de rede. O malware lança um cliente Tor portátil através do Windows Script Host e scripts baseados em ActiveX, roteando comunicações por meio de um proxy SOCKS5 local antes de se conectar a servidores de serviço oculto. Essa abordagem reduz a visibilidade e permite que os atacantes mantenham acesso anônimo aos dispositivos infectados.

O ataque combina duas funções principais: um componente de propagação que se espalha por arquivos infectados e mídia removível, e um componente de clipper-roubo focado no roubo de criptomoedas. O malware pode criar atalhos maliciosos que parecem fazer referência a documentos legítimos, levando os usuários a executarem código prejudicial sem perceberem. Ele também cria tarefas agendadas para manter a persistência e continuar operando após reinicializações do sistema.

Uma Nova Geração de Infraestrutura de Roubo de Cripto

O malware demonstra uma mudança em direção a ameaças leves, baseadas em scripts, que combinam roubo financeiro com capacidades de backdoor mais amplas. Após a infecção, o malware monitora continuamente a atividade do clipboard, procurando por dados relacionados a criptomoedas. Quando os usuários copiam endereços de carteira, o malware pode substituí-los por endereços controlados pelo atacante, redirecionando transações sem que a vítima perceba imediatamente.

A ameaça também busca por chaves privadas relacionadas a Bitcoin e Ethereum, além de frases-semente BIP39, que são comumente usadas para recuperar carteiras de criptomoedas. As informações capturadas são transmitidas aos atacantes por canais baseados em Tor, enquanto capturas de tela são coletadas para fornecer contexto adicional sobre a atividade da carteira e saldos de contas.

A Microsoft destacou que o malware inclui capacidades de execução remota de comandos, permitindo que os atacantes enviem instruções e executem código adicional em sistemas infectados. Isso amplia a ameaça além de um simples clipper de criptomoedas, tornando-se uma ferramenta flexível capaz de suportar atividades maliciosas adicionais.

Pesquisadores de segurança observaram que a campanha depende fortemente de indicadores comportamentais, em vez de detecção tradicional baseada em arquivos. Atividades suspeitas incluem motores de script iniciando processos inesperados, manipulação de endereços de criptomoedas, captura de tela via PowerShell e conexões incomuns ao proxy Tor através da porta localhost 9050.

O antivírus Microsoft Defender detecta componentes relacionados da família de malware sob a designação Trojan:Win32/CryptoBandits.A, enquanto o Microsoft Defender for Endpoint fornece detecções comportamentais adicionais para atividades de script suspeitas, tentativas de exfiltração de dados e execução anormal de processos.

A Microsoft aconselhou as organizações a fortalecerem as defesas contra ameaças de mídia removível, restringir a execução desnecessária de scripts, monitorar atividades suspeitas de proxy e aplicar controles de segurança contra scripts ofuscados. A empresa também recomendou revisar o comportamento de monitoramento de clipboard e investigar sistemas onde ferramentas de script interagem com utilitários de comunicação de rede.

A descoberta destaca a crescente sofisticação de malware focado em criptomoedas, com atacantes cada vez mais combinando técnicas automatizadas de roubo de carteiras, sistemas de comunicação anônimos e mecanismos de acesso persistente. À medida que os ativos digitais continuam a se integrar mais às atividades financeiras, espera-se que as equipes de segurança deem maior ênfase à proteção de credenciais de carteiras e ao monitoramento de comportamentos associados a ameaças direcionadas a criptomoedas.