A Microsoft alerta usuários do Windows sobre o malware CryptoBandits Clipper

A Microsoft Threat Intelligence detalhou uma campanha de malware do Windows rastreada como Trojan:Win32/CryptoBandits.A, descrevendo um “clipe” que se espalha por mídias removíveis, monitora a atividade da área de transferência (clipboard) e troca endereços de criptomoeda antes que as vítimas enviem fundos. O malware mira um dos hábitos mais comuns no universo cripto: copiar e colar endereços de carteiras, substituindo endereços de destino legítimos pelos endereços controlados pelo atacante. Esta campanha representa um método específico de roubo cripto que explora a confiança em drives USB e fluxos de transação rotineiros.

Malware CryptoBandits monitora clipboard e troca endereços de cripto

O malware observa o clipboard e substitui endereços de carteiras copiados por endereços controlados pelo atacante. O relatório da Microsoft diz que a campanha CryptoBandits usa monitoramento de clipboard em alta frequência e também pode buscar materiais sensíveis de cripto, como chaves privadas ou seed phrases. Os usuários copiam um endereço de destino legítimo, mas o malware intercepta e substitui esse endereço antes de a vítima colá-lo em uma transação. Transferências na blockchain são difíceis ou impossíveis de reverter, e as vítimas podem só perceber o que aconteceu depois de verificarem o registro da transação.

Malware se espalha por drives USB usando atalhos maliciosos

A Microsoft diz que o malware pode se espalhar por drives removíveis, ocultando documentos reais e substituindo-os por arquivos de atalho (shortcut) maliciosos que usam nomes de documentos conhecidos. Um usuário abre o que parece ser um PDF normal, uma planilha ou um documento a partir de um drive USB, mas o atalho executa código malicioso em vez disso. A campanha também usa infraestrutura Tor para tráfego de comando e controle, de acordo com a Microsoft. Ao rotear a comunicação por serviços ocultos, os atacantes conseguem tornar o malware mais difícil de interromper e mais complicado para defesas de rede tradicionais inspecionarem.

Microsoft recomenda verificação de endereço antes de enviar fundos

As orientações da Microsoft incluem conferir os caracteres iniciais e finais do endereço de destino antes de enviar fundos. Para transferências maiores, os usuários devem usar uma carteira hardware ou uma tela de carteira que mostre o endereço de forma independente do computador infectado. Os usuários também devem evitar abrir arquivos de drives USB desconhecidos, manter as ferramentas de segurança do Windows atualizadas e tratar atalhos em armazenamento removível com desconfiança. Se um drive, de repente, exibir arquivos familiares como links de atalho, isso é um sinal de alerta. Esta campanha é focada no Windows e mira usuários de cripto que dependem de fluxos “copiar e colar” para endereços de transação.

FAQ

O que o malware CryptoBandits faz com endereços de carteiras cripto?

O malware monitora a atividade do clipboard e substitui endereços de carteiras de criptomoeda copiados por endereços controlados pelo atacante antes que as vítimas colem esses endereços em transações. A Microsoft afirma que ele usa monitoramento de clipboard em alta frequência e também pode buscar chaves privadas ou seed phrases.

Como o CryptoBandits se espalha para outros computadores?

A Microsoft informa que o malware se espalha por drives USB removíveis, ocultando documentos reais e substituindo-os por arquivos de atalho maliciosos que usam nomes de documentos conhecidos. Quando um usuário abre o que parece ser um arquivo normal em um drive USB, o atalho executa código malicioso em vez disso.