A Microsoft identificou um malware que se espalha por pen drives e mira carteiras de criptomoedas em computadores Windows. Segundo a empresa, a ameaça está ativa desde fevereiro e é classificada como um “crypto clipper”, tipo de golpe que monitora dados copiados pelo usuário e troca endereços de carteiras para desviar transações.
O antivírus Microsoft Defender identifica o malware como Trojan/CryptoBandits. A infecção começa quando o usuário conecta ao computador um pen drive já comprometido, contendo um atalho malicioso. No Windows, arquivos de atalho terminam em “.lnk” e servem para abrir programas, pastas ou documentos armazenados em outro local do computador.
Ao clicar nesse atalho, a vítima instala um worm, tipo de malware capaz de se espalhar automaticamente. Uma vez no computador, ele executa duas funções ao mesmo tempo: mantém ativo o código responsável por roubar dados de carteiras cripto e fica esperando que um novo pen drive limpo seja conectado à máquina para infectá-lo também.
A parte voltada ao roubo de criptomoedas monitora a área de transferência do Windows, usada em operações de copiar e colar, aproximadamente a cada 500 milissegundos. Quando o usuário copia uma seed phrase ou chave privada de uma carteira de Bitcoin ou Ethereum, o malware captura a informação e envia os dados ao servidor do invasor pela rede Tor, usada para comunicações anônimas.
Além disso, o malware tira cinco capturas de tela, com intervalo de dez segundos entre cada uma, e também envia as imagens aos criminosos. Isso amplia o risco para a vítima, já que informações sensíveis exibidas na tela podem ser coletadas mesmo que não tenham sido copiadas.
Leia também: CEO da Microsoft AI diz quando a IA irá automatizar a maioria dos trabalhos
O ataque também mira transferências de criptomoedas. Se o usuário copia um endereço de carteira para enviar fundos, o malware substitui silenciosamente esse endereço por outro controlado pelo invasor antes que a vítima cole a informação no campo de envio. Como endereços cripto são longos e difíceis de conferir visualmente, a troca pode passar despercebida e fazer com que os recursos sejam enviados diretamente ao criminoso.
O golpe explora uma fragilidade comum no uso de carteiras digitais: a confiança no recurso de copiar e colar. Em transações com criptomoedas, transferências geralmente são irreversíveis. Por isso, se o usuário confirma o envio para um endereço adulterado, não há uma instituição capaz de cancelar ou reverter a operação.
O malware também foi projetado para continuar se espalhando. Quando um pen drive limpo é conectado ao computador infectado, o worm vasculha o dispositivo em busca de arquivos comuns, como documentos do Word, planilhas do Excel e PDFs. Em seguida, substitui esses arquivos por novos atalhos com os mesmos nomes, mas infectados. Assim, quando o pen drive é levado para outro computador e o usuário clica nos supostos arquivos, o ciclo de infecção recomeça.
A Microsoft recomenda desativar o AutoRun para mídias removíveis, bloquear a execução de arquivos “.lnk” em pen drives por meio de políticas de grupo e restringir hosts de script como wscript.exe e cscript.exe. Clientes do Microsoft Defender também podem executar consultas de hunting para procurar sinais da ameaça, incluindo conexões com um proxy local da rede Tor na porta 9050.
A empresa publicou ainda uma lista de indicadores de comprometimento, incluindo hashes de arquivos e domínios “.onion” usados como servidores de comando e controle. Essas informações permitem que equipes de segurança verifiquem se suas redes foram afetadas.
O alerta reforça um cuidado essencial para usuários de criptomoedas: nunca copiar seed phrases ou chaves privadas em computadores conectados à internet ou de procedência duvidosa. Também é recomendável conferir manualmente os primeiros e últimos caracteres do endereço de destino antes de confirmar qualquer transação, além de evitar o uso de pen drives desconhecidos.
Embora golpes com “crypto clippers” não sejam novos, a combinação com propagação por USB aumenta o potencial de disseminação em ambientes domésticos e corporativos. Para investidores, o caso mostra que a segurança de uma carteira cripto não depende apenas da blockchain ou da exchange usada, mas também dos hábitos digitais e da proteção do dispositivo em que as transações são feitas.
Quer investir na maior criptomoeda do mundo? No MB, você começa em poucos cliques e de forma totalmente segura e transparente. Não adie uma carteira promissora e faça mais pelo seu dinheiro. Abra sua conta e invista em bitcoin agora!