De sequestro de carteira ao controlo remoto: a Microsoft revela uma nova vaga de malware de criptomoedas direcionado aos utilizadores do Windows | Metaverse Post

Resumidamente

A Microsoft descobre uma campanha de malware de clipper de criptomoedas baseada em Windows que utiliza infraestrutura baseada em Tor para roubar credenciais de carteiras, sequestrar transações e manter acesso remoto.

A empresa de tecnologia Microsoft relatou a descoberta de uma campanha de malware de clipper de criptomoedas baseada em Windows que tem atacado usuários desde fevereiro de 2026. A ameaça, identificada pela Microsoft Threat Intelligence e pelos especialistas da Microsoft Defender, combina roubo de clipboard, direcionamento de carteiras de criptomoedas e capacidades de acesso remoto para roubar ativos digitais e manter controle sobre sistemas comprometidos.

O malware foi projetado para interceptar informações sensíveis relacionadas a criptomoedas, incluindo endereços de carteiras, frases-semente e chaves privadas. A Microsoft afirmou que a ameaça se espalha principalmente através de arquivos de atalho maliciosos (.lnk) distribuídos via unidades USB removíveis. Uma vez ativado, o malware implanta componentes adicionais que permitem persistência, coleta de dados e comunicação com infraestrutura controlada pelo atacante.

Ao contrário de campanhas tradicionais de malware que dependem de servidores de comando e controle visíveis, esta campanha usa um proxy Tor embutido para esconder a atividade de rede. O malware lança um cliente Tor portátil através do Windows Script Host e scripts baseados em ActiveX, roteando comunicações por meio de um proxy SOCKS5 local antes de se conectar a servidores de serviço oculto. Essa abordagem reduz a visibilidade e permite que os atacantes mantenham acesso anônimo aos dispositivos infectados.

O ataque combina duas funções principais: um componente de propagação que se espalha por arquivos infectados e mídia removível, e um componente de clipper-roubo focado no roubo de criptomoedas. O malware pode criar atalhos maliciosos que parecem fazer referência a documentos legítimos, levando os usuários a executarem inadvertidamente códigos prejudiciais. Ele também cria tarefas agendadas para manter a persistência e continuar operando após reinicializações do sistema.

Uma Nova Geração de Infraestrutura de Roubo de Cripto

O malware demonstra uma mudança em direção a ameaças leves, baseadas em scripts, que combinam roubo financeiro com capacidades de backdoor mais amplas. Após a infecção, o malware monitora continuamente a atividade do clipboard, procurando por dados relacionados a criptomoedas. Quando os usuários copiam endereços de carteiras, o malware pode substituí-los por endereços controlados pelo atacante, redirecionando transações sem que a vítima perceba imediatamente.

A ameaça também busca por chaves privadas relacionadas a Bitcoin e Ethereum, bem como frases-semente BIP39, que são comumente usadas para recuperar carteiras de criptomoedas. As informações capturadas são transmitidas aos atacantes através de canais baseados em Tor, enquanto capturas de tela são coletadas para fornecer contexto adicional sobre a atividade da carteira e saldos de contas.

A Microsoft destacou que o malware inclui capacidades de execução remota de comandos, permitindo que os atacantes enviem instruções e executem códigos adicionais em sistemas infectados. Isso amplia a ameaça além de um simples clipper de criptomoedas, tornando-se uma ferramenta flexível capaz de suportar atividades maliciosas adicionais.

Pesquisadores de segurança observaram que a campanha depende fortemente de indicadores comportamentais ao invés de detecção tradicional baseada em arquivos. Atividades suspeitas incluem motores de script iniciando processos inesperados, manipulação de endereços de criptomoedas, captura de tela via PowerShell e conexões incomuns ao proxy Tor através da porta localhost 9050.

O Microsoft Defender Antivirus detecta componentes relacionados da família de malware sob a designação Trojan:Win32/CryptoBandits.A, enquanto o Microsoft Defender for Endpoint fornece detecções comportamentais adicionais para atividades de script suspeitas, tentativas de exfiltração de dados e execução anormal de processos.

A Microsoft aconselhou as organizações a fortalecerem as defesas contra ameaças de mídia removível, restringir a execução desnecessária de scripts, monitorar atividades suspeitas de proxy e aplicar controles de segurança contra scripts ofuscados. A empresa também recomendou revisar o comportamento de monitoramento do clipboard e investigar sistemas onde ferramentas de scripting interagem com utilitários de comunicação de rede.

A descoberta destaca a crescente sofisticação de malware focado em criptomoedas, com atacantes cada vez mais combinando técnicas automatizadas de roubo de carteiras, sistemas de comunicação anônimos e mecanismos de acesso persistente. À medida que os ativos digitais continuam a se integrar mais às atividades financeiras, espera-se que as equipes de segurança deem maior ênfase à proteção de credenciais de carteiras e ao monitoramento de comportamentos associados a ameaças direcionadas a criptomoedas.