A Microsoft descobriu um malware que sequestra transferências de criptomoedas por meio de pen drives. Veja como funciona.

A Microsoft Threat Intelligence revelou em 17 de junho que está monitorando uma campanha de malware para Windows desde fevereiro de 2026, que se espalha por meio de unidades USB infectadas e sequestra silenciosamente transferências de criptomoedas.

O malware, detectado pelo Microsoft Defender Antivirus como Trojan:Win32/CryptoBandits, monitora a área de transferência da vítima aproximadamente a cada 500 milissegundos e substitui os endereços de carteira copiados por endereços controlados pelo atacante antes que o usuário os cole. A transação é concluída normalmente na tela da vítima. Os fundos, porém, vão para outro lugar.

O método de infecção é antigo, mas a execução é excepcionalmente sofisticada para o que normalmente é uma classe simples de malware.

O ataque começa quando um pen drive limpo é conectado a um computador já infectado. O worm examina o pen drive em busca de arquivos comuns, incluindo documentos do Word, planilhas do Excel e PDFs, e então oculta os originais e os substitui por atalhos maliciosos com nomes e ícones idênticos.

Quando esse pen drive é conectado a outro computador e a vítima clica no que parece ser seu próprio documento, o Windows Explorer processa automaticamente o arquivo .lnk malicioso e o código malicioso é executado em segundos. Sem download, sem e-mail de phishing, sem link suspeito. Apenas um pen drive com aparência completamente normal.

Uma vez ativo em uma nova máquina, o malware executa dois processos simultaneamente. Ele começa monitorando a área de transferência em busca de dados valiosos e aguarda a próxima unidade USB limpa para repetir o ciclo de propagação.

O CryptoBandits visa três categorias específicas de dados da área de transferência, e entender cada uma delas é importante para avaliar sua própria exposição:

• Frases-semente e chaves privadas. Se você copiar uma frase-semente ou chave privada de uma carteira por qualquer motivo, mesmo que brevemente, o malware a captura e a exfiltra para o servidor do atacante através da rede Tor.

• Capturas de tela. O malware tira cinco capturas de tela com dez segundos de intervalo sempre que detecta atividade relevante na área de transferência, capturando o contexto visual que um invasor pode usar para confirmar o que foi roubado.

• Endereços de carteiras de destinatários. Esta é a funcionalidade mais perigosa. Quando você copia um endereço de destino para enviar fundos, o malware o substitui silenciosamente por um endereço controlado pelo atacante antes mesmo de você colá-lo. Você vê seu próprio endereço. Você confirma a transação. O dinheiro vai para o atacante.

A análise da Microsoft descobriu que o malware usa o Windows Script Host e lógica baseada em ActiveX para iniciar um proxy Tor embutido e se comunicar com um servidor de comando e controle de serviço oculto.

Ele também configura tarefas agendadas para persistência, o que significa que sobrevive a uma reinicialização e continua monitorando indefinidamente. Se o servidor do atacante retornar comandos específicos, o malware pode executar código adicional em tempo de execução, conferindo-lhe capacidades que vão além de uma ferramenta típica de roubo de carteiras.

Com base nos incidentes que analisamos nesta área de segurança, o malware padrão de sequestro da área de transferência existe há anos e é relativamente fácil de detectar, pois normalmente requer conectividade constante à internet com um servidor fixo. O CryptoBandits roteia toda a comunicação através do Tor, o que anonimiza a infraestrutura de comando e controle e torna a detecção baseada em rede significativamente mais difícil.

A propagação via USB, semelhante a um worm, também representa uma escalada significativa. A maioria dos malwares modernos se espalha por meio de e-mails de phishing, anúncios maliciosos ou downloads comprometidos. A propagação física por meio de mídias removíveis burla filtros de e-mail, avisos de segurança de navegadores e a maioria das ferramentas de detecção de endpoints otimizadas para ameaças baseadas em rede. A empresa de segurança NS3.AI confirmou que usuários têm sido afetados desde fevereiro, e a Binance compartilhou o alerta da Microsoft diretamente com sua base de usuários após a divulgação.

As medidas de mitigação recomendadas pela Microsoft são específicas e valem a pena serem implementadas imediatamente, independentemente de você ter notado algo incomum:

• Desative a execução automática e a reprodução automática para todas as mídias removíveis em todos os computadores Windows que você usa para negociação.

• Bloqueie a execução de arquivos .lnk a partir de unidades USB no nível da política do sistema, se o seu sistema operacional permitir.

• Nunca copie e cole um endereço de carteira sem verificar visualmente se os primeiros e os últimos caracteres correspondem ao que você espera, todas as vezes.

• Evite copiar frases-semente ou chaves privadas para a área de transferência. Digite-as diretamente ou use uma carteira de hardware que nunca exponha a chave ao sistema operacional.

• Verifique seus sistemas em relação aos indicadores de comprometimento que a Microsoft publicou em seu blog de segurança se você usou unidades USB desconhecidas em um computador de negociação desde fevereiro.

O hábito de verificar o endereço é a defesa mais importante neste caso. Todo o modelo do malware depende da confiança da vítima de que o que foi copiado é o que será colado. Um operador que verifica manualmente os quatro primeiros e os quatro últimos caracteres de qualquer endereço de destino antes de confirmar uma transferência impede esse ataque específico, independentemente da presença do malware em seu sistema.

Os traders financiados dedicam muito tempo a pensar em limites de perda , dimensionamento de posições e risco de mercado. A campanha CryptoBandits serve como um lembrete de que o computador que executa suas negociações também faz parte da sua superfície de risco.

Um ataque de captura de dados não se importa com o quão disciplinada seja sua estratégia de negociação. Ele ignora seu stop loss ou seu limite de perda diária. Simplesmente espera por uma transferência e a redireciona. Pelo que observamos nos incidentes de segurança que rastreamos este ano, os traders que evitam completamente esse tipo de perda não são os mais sofisticados tecnicamente.

São eles que tratam a verificação básica como um hábito inegociável, da mesma forma que tratam a gestão de risco em todas as transações. Verifique todos os endereços. Questione todos os dispositivos USB desconhecidos. O custo da verificação é de segundos. O custo da não verificação não tem limite.