A Microsoft alerta para uma nova malware que sequestra a área de transferência das carteiras de criptomoedas

A Microsoft Threat Intelligence e os especialistas da Microsoft Defender reportaram a 17 de junho que uma nova estirpe de malware tem estado a infetar dispositivos Windows desde fevereiro de 2026. A ameaça, uma espécie de “clipper” agora sinalizada pela Microsoft Defender Antivirus como “Trojan: Win32/CryptoBandits.A”, foi concebida para drenar criptomoeda dos utilizadores monitorizando a atividade da área de transferência (clipboard). O malware funciona observando a área de transferência aproximadamente a cada 500 milissegundos e substitui silenciosamente os endereços das carteiras de criptomoeda por endereços controlados pelo atacante quando os utilizadores copiam e colam detalhes de transações. Este método de ataque baseado na área de transferência explora a prática comum de copiar endereços durante transações de criptomoeda, permitindo aos atacantes redirecionar fundos sem o conhecimento da vítima.

A Microsoft identifica o método de distribuição do malware

De acordo com o relatório da Microsoft, a campanha começa com ficheiros de atalho maliciosos (.lnk) distribuídos em unidades de armazenamento USB. O malware agrega dois componentes: um componente de worm que se propaga e um stealer que recolhe dados de carteiras. O worm esconde documentos legítimos num dispositivo USB e substitui-os por atalhos disfarçados, de modo que um utilizador ao abrir o que parece ser um ficheiro familiar, na realidade está a executar o malware sem se aperceber.

O malware também procura frases-semente e chaves privadas, que são as credenciais que desbloqueiam carteiras cripto. Para manter persistência, executa-se numa janela oculta, configura tarefas agendadas e exclui os próprios ficheiros da verificação do Defender. O malware verifica se o Gestor de Tarefas está aberto e encerra-se caso esteja, numa tática anti-análise destinada a escapar a quem investigue o dispositivo.

CryptoBandits usa infraestrutura baseada em Tor

A Microsoft afirma que o CryptoBandits implementa um cliente Tor portátil e encaminha o tráfego através de um proxy local para chegar a um servidor oculto de comando-e-controlo. Este desenho permite-lhe combinar roubo de dados com execução remota de código, transformando um stealer ávido de dinheiro numa backdoor leve capaz de executar comandos adicionais do atacante. A infraestrutura baseada em Tor permite ao malware manter canais de comunicação discretos sem depender de instaladores tradicionais ou de servidores expostos.

FAQ

O que é o malware CryptoBandits que a Microsoft descobriu? O CryptoBandits, sinalizado pela Microsoft Defender Antivirus como “Trojan: Win32/CryptoBandits.A”, é uma estirpe de malware que monitoriza a atividade da área de transferência aproximadamente a cada 500 milissegundos e troca endereços de carteiras de criptomoeda por endereços controlados pelo atacante. A Microsoft Threat Intelligence e os especialistas da Microsoft Defender reportaram a 17 de junho que tem estado a infetar dispositivos Windows desde fevereiro de 2026.

Como é que o malware CryptoBandits se espalha para os dispositivos? De acordo com o relatório da Microsoft, o malware propaga-se através de ficheiros de atalho maliciosos (.lnk) distribuídos em unidades de armazenamento USB. O componente worm esconde documentos legítimos em dispositivos USB e substitui-os por atalhos disfarçados que iniciam o malware quando os utilizadores abrem o que parece ser um ficheiro familiar.

Que infraestrutura o CryptoBandits usa para comunicar? A Microsoft afirma que o CryptoBandits implementa um cliente Tor portátil e encaminha o tráfego através de um proxy local para chegar a um servidor oculto de comando-e-controlo. Esta infraestrutura baseada em Tor permite ao malware manter canais de comunicação discretos e executar comandos remotos.