
Microsoft alerta usuários sobre malware 'Crypto Clipper' que se espalha via USB
O malware combina roubo de dados com execução remota de código, "transformando um ladrão com motivação financeira em uma porta dos fundos simplificada", disse a Microsoft.

A equipe de Inteligência de Ameaças da Microsoft está alertando os usuários do Windows sobre uma variante de malware que se propaga por meio de dispositivos USB, especificamente para criptomoedas.
O malware, que vem afetando usuários desde fevereiro, rouba dados da área de transferência para extrair credenciais de carteiras digitais usando "roubo de dados da área de transferência em alta frequência, exfiltração de capturas de tela e substituição de endereços de carteira", disse a Microsoft na quarta-feira.
O crypto clipper também oculta arquivos legítimos e os substitui por atalhos semelhantes, de modo que as vítimas executam o malware sem saber, enquanto um componente do worm se propaga automaticamente para dispositivos de armazenamento USB.
Este malware é insidioso porque é mais do que apenas um ladrão de informações; ele funciona como uma porta dos fundos, o que significa que os atacantes podem inserir e executar código arbitrário em máquinas infectadas a qualquer momento, transformando um simples roubo de criptomoedas em uma porta de entrada persistente para ransomware.
A execução desse clipper também é notável porque não depende de um instalador tradicional ou de infraestrutura baseada em IP exposta, disseram os pesquisadores da Microsoft.
“Essa família de malware demonstra como programas furtivos leves, baseados em scripts, podem ter um impacto desproporcional quando combinados com comunicações anonimizadas e tarefas em tempo de execução.”
A rede Tor é usada para manipulação
O malware implanta duas cargas úteis JavaScript ofuscadas no diretório Documentos do Windows e cria tarefas agendadas tanto para o worm quanto para o componente ladrão de dados.
O malware também instala secretamente uma cópia do Tor no computador da vítima, mas renomeia-a para ugate.exe para disfarçá-la como algo inofensivo. Em seguida, usa a rede Tor, que garante o anonimato, para se conectar aos seus operadores maliciosos em endereços ocultos da rede "onion".
"A combinação de C2 roteado por Tor, direcionamento à área de transferência, captura de tela e execução remota de código oferece aos invasores caminhos imediatos de monetização e controle contínuo sobre dispositivos comprometidos", disse a Microsoft.

Fluxo de execução do Crypto Clipper. Fonte: Microsoft
Chaves privadas e frases-semente direcionadas
O Crypto Clipper concentra-se em "artefatos financeiros de alto valor" da área de transferência, incluindo frases mnemônicas BIP39 e chaves privadas de Bitcoin e Ethereum.
O programa também substitui endereços de carteira copiados por endereços controlados pelo atacante em Bitcoin, Tron e Monero , e tira screenshots a cada dez segundos para obter contexto adicional.
O antivírus Microsoft Defender detecta o malware como Trojan:Win32/CryptoBandits.A .
A Microsoft recomendou desativar a reprodução automática em mídias removíveis, bloquear a execução de arquivos .lnk em unidades USB e monitorar a atividade de proxy e scripts gerados por ele.
Em 2026, houve um aumento significativo de ladrões de criptomoedas em sistemas Windows. Uma nova variante de malware para Windows, chamada Lucid Stealer, que ataca extensões de navegador e carteiras de criptomoedas, foi identificada no início deste mês pela equipe de inteligência de ameaças da Foresiet.
Mais sobre o assunto

