AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
Cripto
Trading

Microsoft alerta sobre malware CryptoBandits que troca…

O worm do Windows usa atalhos .lnk maliciosos, verifica a área de transferência a cada ~500 ms e exfiltra dados através do Tor.

Por AI News Crypto Editorial Team5 min de leitura

A Microsoft divulgou um worm do Windows propagado por USB detectado como Trojan:Win32/CryptoBandits que tem como alvo a atividade de carteiras de criptomoedas desde fevereiro de 2026. O malware monitora a área de transferência em busca de frases-semente, chaves privadas e endereços de destinatários, e pode silenciosamente substituir endereços de destino copiados para redirecionar transferências.

Principais Conclusões

  • Um worm do Windows transportado por USB rastreado como Trojan:Win32/CryptoBandits tem como alvo a atividade de carteiras de criptomoedas desde fevereiro de 2026.
  • A infecção inicial pode começar com um único clique em um atalho malicioso do Windows (.lnk) colocado em uma unidade USB infectada.
  • O payload verifica a área de transferência do Windows a cada 500 milissegundos e pode trocar endereços de destinatários copiados antes que um usuário os cole em um fluxo de transferência.
  • Os dados roubados são enviados através do Tor, e o malware também captura cinco capturas de tela espaçadas em 10 segundos.

A Microsoft nomeia Trojan:Win32/CryptoBandits como um “Crypto Clipper” transportado por USB

A Microsoft divulgou uma campanha de “crypto clipper” do Windows que se espalha através de unidades USB infectadas e tem como alvo operações de carteiras de criptomoedas. O Microsoft Defender detecta a ameaça como Trojan:Win32/CryptoBandits, e a Microsoft afirmou que o worm está ativo desde fevereiro de 2026.

O rótulo importa menos do que o fluxo de trabalho que ele visa. Este não é um truque de injeção de navegador de nicho. Ele foi projetado para ficar em uma máquina Windows e interferir no exato momento em que os fundos se movem, onde traders e usuários avançados costumam confiar em copiar e colar para evitar erros de digitação.

De um Clique em .lnk a uma Transferência Sequestrada: Como Funciona a Troca de Área de Transferência

A cadeia de infecção começa em mídias removíveis. Um pen drive USB infectado contém um arquivo de atalho malicioso do Windows que termina em “.lnk”. Quando um usuário clica nele, o atalho executa comandos controlados pelo atacante que instalem o worm no PC.

Uma vez residente, o componente que rouba carteiras monitora a área de transferência do Windows aproximadamente a cada 500 milissegundos. A Microsoft disse que ele procura por frases-semente, chaves privadas, e endereços de destinatários. A parte de maior atrito na maioria dos roubos de carteiras é fazer com que um usuário entregue segredos. Esta campanha reduz essa dependência ao direcionar a execução de transferências em vez disso.

O comportamento crítico é a substituição de endereço. Quando um usuário copia um endereço de destinatário para enviar fundos, o malware pode silenciosamente substituí-lo por um endereço controlado pelo atacante antes de colar, sem nenhum sinal visível. Isso significa que um usuário pode fazer tudo “certo” ao nunca digitar uma frase-sementeem um site de phishing e ainda ser cortado no ponto de retirada ou no envio on-chain.

Os dados capturados da área de transferência são exfiltrados pela rede Tor. A Microsoft também disse que o malware tira cinco capturas de tela, com dez segundos de intervalo, e as envia para o atacante, uma maneira simples de capturar o que estava na tela durante a configuração, login ou confirmação de transferência.

Por que a propagação USB muda o modelo de ameaça para operações de carteira

A propagação USB transforma isso de um problema de ponto único em um problema operacional. O worm espera por mídia removível adicional e, em seguida, se espalha quando um pen drive limpo é inserido na máquina infectada.

A descrição da Microsoft é direta: o malware escaneia o drive limpo em busca de arquivos comuns, como documentos do Word, planilhas do Excel e PDFs, e então os substitui por arquivos de atalho com nomes idênticos para infectar o drive. Isso é uma armadilha prática para fluxos de trabalho de mesa que transferem arquivos entre máquinas, incluindo hábitos semi-isolados onde os usuários assumem que 'offline' é igual a seguro.

Para os traders, o risco de segunda ordem é o movimento lateral para a máquina que realmente assina ou prepara transferências. Um único USB contaminado usado apenas para 'mover um arquivo' pode se tornar a ponte.

Defender Playbook: AutoRun, Bloqueio de .lnk, Hosts de Script e Caça ao Tor na Porta 9050

A Microsoft recomendou desativar o AutoRun para mídias removíveis e bloquear a execução de .lnk em pen drives via Política de Grupo. Também aconselhou a restringir hosts de script do Windows, como wscript.exe e cscript.exe, que são caminhos de execução comuns para cadeias de malware baseadas em atalho e script.

Do lado da detecção, a Microsoft disse que os clientes do Defender podem executar consultas de caça para atividades relacionadas, incluindo conexões consistentes com um proxy Tor local na porta 9050. A Microsoft também publicou indicadores de comprometimento para defensores, incluindo hashes de arquivos e domínios de comando e controle .onion.

O que permanece incerto é o escopo. A divulgação, conforme fornecida, não quantifica o número de vítimas, regiões, aplicativos de carteira específicos ou fundos roubados. O próximo sinal concreto será se a Microsoft expandir esses detalhes e se novas detecções ligarem os CryptoBandits a softwares de carteira ou fluxos de retirada de câmbio específicos.

Para empresas e equipes de negociação, a telemetria imediata a ser observada é a execução de .lnk a partir de mídias removíveis e qualquer atividade semelhante a proxy Tor na porta 9050, então combinando os hashes atualizados da Microsoft e a infraestrutura .onion contra logs de endpoint e rede.

A Opinião de Marcus Hale: O Modo de Falha Silenciosa É a Substituição de Endereço, Não o Roubo de Chaves

Eu trato isso como um problema de estrutura de mercado para operações de self-custody, não como uma manchete sobre "novo malware". O design é otimizado para o caminho de roubo com menor atrito: cortar o endereço de destino no momento da transferência, e o usuário faz o resto.

O limiar que importa é se os defensores podem identificar de forma confiável a execução de .lnk em mídia removível e artefatos de proxy Tor antes que o primeiro envio ruim ocorra.

A propagação USB é o multiplicador. Se esse padrão de salto se mantiver em fluxos de trabalho reais de mesa, a configuração começa a parecer estrutural em vez de impulsionada por narrativas, porque visa o comportamento de movimentação de arquivos do qual muitas equipes ainda dependem.

Esse desenvolvimento é importante em termos práticos se o CryptoBandits aparecer como .lnk de USB repetível mais telemetria Tor-9050 dentro de ambientes que rotineiramente organizam e executam retiradas.

Fontes