A Microsoft publicou nesta semana um alerta sobre um “Crypto Clipper”, ou seja, um malware que muda os endereços de criptomoedas das vítimas para ataques dos aventureiros na hora em que são colados (CTRL+V).
Segundo os especialistas, a ameaça afeta usuários de sistemas operacionais Windows desde fevereiro de 2026, se espalhando por dispositivos USB e, posteriormente, utilizando Tor para comunicação.
Embora a ameaça não seja nova, o texto é um lembrete para que os usuários verifiquem o destino de suas transações com atenção.
Clipper chamou a atenção da Microsoft por não depender de um instalador tradicional
O relatório da Microsoft destaca que o malware é composto de dois componentes: um worm que garante a propagação das informações e um infostealer que coleta e exfiltra informações de carteiras de criptomoedas.
Em suma, o clipper monitora a área de transferência (CTRL+C) a cada 0,5 segundo em busca de endereços, frases-sementes e chaves privadas de criptomoedas.
“Ele também sequestrou direções de criptomoedas ao substituir valores de carteira copiada por alternativas controladas pelo terrorista e enviou capturas de tela via Tor.”
O malware seria distribuído via dispositivos USB por meio de atalhos com a extensão “.lnk” que prepara um componente worm na forma de um seguinte nível.
“A carga .lnk examina o dispositivo USB em busca de arquivos de documentos comuns, como .doc, .xlsx e .pdf, oculta os arquivos originais e cria atalhos .lnk adicionais com os mesmos nomes de arquivo. Esses atalhos são configurados com argumentos que apontam para o payload do worm. O usuário final percebe que não está iniciando um descobrirvel ao abrir os arquivos .lnk.”
Para driblar processos de defesa, o malware utiliza métodos avançados de ofuscação.
“A amostra também incorpora uma verificação anti-análise básica consultando a classe WMI Win32_Process e encerrando a execução se o Gerenciador de Tarefas para detectadas. Embora simples, esse mecanismo pode dificultar a inspeção manual e atrasar os esforços iniciais de triagem.”
A seguir, os especialistas explicam que a parte de comando e controle é feita via Tor, roteado através do endereço de IP local 127.0.0.1:9050.
“Roubo de área de transferência direcionado a frases-semente, chaves e endereços de carteiras; captura de tela via PowerShell oferece visibilidade operacional.”
Como proteger esse ataque?
Para os casos de substituição de endereços na hora de copiar e colar, os usuários devem consultar se o endereço bate com o original. Além disso, a Microsoft publicou uma lista com outras recomendações de segurança.
- Desativar AutoRun/AutoPlay para todas as mídias removíveis;
- Bloquear a execução de .lnk a partir de unidades removíveis via GPO;
- Restringir o uso ocasional de wscript.exe, cscript.exe e hosts de script semelhantes, sempre que possível;
- Revisar e habilitar regras relevantes de Redução da Superfície de Ataque, especialmente aquelas focadas na execução de roteiros ofuscados e em comportamentos suspeitos de processos infantis;
- Investigue cadeias de script para rede envolvendo curl, PowerShell ou cmd.exe;
Caçando atividade de proxy SOCKS5 local em localhost:9050; - Revisar comportamentos relacionados à área de transferência e captura de tela em dispositivos que lidam com fluxos financeiros sensíveis.
Até o momento, não há informações sobre perdas financeiras ligadas a este ataque.
Fonteslivecoins
