A Microsoft Avisa Sobre Novo Malware que Sequestra a Área de Transferência das Carteiras de Criptomoedas

Especialistas de Threat Intelligence e do Microsoft Defender da Microsoft relataram em 17 de junho que uma nova variante de malware está infectando dispositivos Windows desde fevereiro de 2026. A ameaça, uma espécie de “clipper” agora sinalizada pelo Microsoft Defender Antivirus como “Trojan: Win32/CryptoBandits.A”, é projetada para drenar criptomoeda dos usuários monitorando a atividade da área de transferência. O malware funciona observando a área de transferência aproximadamente a cada 500 milissegundos e, silenciosamente, trocando endereços de carteiras de criptomoeda por endereços controlados pelo atacante quando os usuários copiam e colam detalhes de transações. Esse método de ataque baseado na área de transferência explora a prática comum de copiar endereços de carteiras durante transações de criptomoeda, permitindo que os atacantes redirecionem fundos sem o conhecimento da vítima.

Microsoft Identifica Método de Distribuição do Malware

De acordo com o relatório da Microsoft, a campanha começa com arquivos de atalho maliciosos (.lnk) distribuídos em dispositivos de armazenamento USB. O malware agrega dois componentes: um componente de worm que se espalha e um stealer que coleta dados de carteiras. O worm oculta documentos legítimos em um dispositivo USB e os substitui por atalhos disfarçados, de modo que, ao abrir o que parece ser um arquivo familiar, o usuário na verdade está executando o malware sem perceber.

O malware também caça frases-semente e chaves privadas, que são as credenciais que desbloqueiam carteiras cripto. Para manter persistência, ele é executado em uma janela oculta, configura tarefas agendadas e exclui seus próprios arquivos da varredura do Defender. O malware verifica se o Gerenciador de Tarefas está aberto e desliga se estiver, uma tática anti-análise destinada a escapar de qualquer pessoa investigando o dispositivo.

CryptoBandits Usa Infraestrutura Baseada em Tor

A Microsoft afirma que o CryptoBandits implanta um cliente Tor portátil e encaminha o tráfego por um proxy local para alcançar um servidor oculto de comando e controle. Esse desenho permite que ele combine roubo de dados com execução remota de código, transformando um stealer que busca dinheiro em uma backdoor leve que pode executar comandos adicionais do atacante. A infraestrutura baseada em Tor permite que o malware mantenha canais de comunicação discretos sem depender de instaladores tradicionais ou servidores expostos.

FAQ

O que é o malware CryptoBandits que a Microsoft descobriu? O CryptoBandits, sinalizado pelo Microsoft Defender Antivirus como “Trojan: Win32/CryptoBandits.A”, é uma variante de malware que monitora a atividade da área de transferência aproximadamente a cada 500 milissegundos e troca endereços de carteiras de criptomoeda por endereços controlados pelo atacante. A Microsoft Threat Intelligence e os especialistas do Microsoft Defender relataram em 17 de junho que ele vem infectando dispositivos Windows desde fevereiro de 2026.

Como o malware CryptoBandits se espalha para dispositivos? De acordo com o relatório da Microsoft, o malware se espalha por meio de arquivos de atalho maliciosos (.lnk) distribuídos em dispositivos de armazenamento USB. O componente worm oculta documentos legítimos em dispositivos USB e os substitui por atalhos disfarçados que executam o malware quando os usuários abrem o que parece ser um arquivo familiar.

Que infraestrutura o CryptoBandits usa para se comunicar? A Microsoft afirma que o CryptoBandits implanta um cliente Tor portátil e encaminha o tráfego por um proxy local para alcançar um servidor oculto de comando e controle. Essa infraestrutura baseada em Tor permite que o malware mantenha canais de comunicação discretos e execute comandos remotos.