A Microsoft acordou um malware que se espalhou por pen drives e mira carteiras de criptomoedas em computadores Windows. Segundo a empresa, a ameaça está ativa desde fevereiro e é definida como um “crypto clipper”, tipo de golpe que monitora dados copiados pelo usuário e troca endereços de carteiras para desviar transações.
O antivírus Microsoft Defender identifica o malware como Trojan/CryptoBandits. A infecção começa quando o usuário conecta ao computador um pen drive já comprometido, contendo um atalho malicioso. No Windows, os arquivos de atalho terminam em “.lnk” e servem para abrir programas, pastas ou documentos armazenados em outro local do computador.
Ao clicar nesse atalho, a vítima instala um worm, tipo de malware capaz de se espalhar automaticamente. Uma vez no computador, ele executa duas funções ao mesmo tempo: mantém ativo o código responsável por roubar dados de carteiras criptografadas e fica esperando que um novo pen drive limpo seja conectado à máquina para infectá-lo também.
A parte voltada para o roubo de criptomoedas monitora a área de transferência do Windows, usada em operações de cópia e colar, aproximadamente a cada 500 milissegundos. Quando o usuário copia uma seedphrase ou chave privada de uma carteira de Bitcoin ou Ethereum, o malware captura as informações e envia os dados ao servidor do invasor pela rede Tor, usados para comunicações anônimas.
Além disso, o malware tira cinco capturas de tela, com intervalo de dez segundos entre cada uma, e também envia as imagens aos criminosos. Isso amplia o risco para a vítima, já que informações sensíveis exibidas na tela podem ser coletadas mesmo que não tenham sido copiadas.
Leia também: CEO da Microsoft AI diz quando a IA irá automatizar a maioria dos trabalhos
O ataque também mira transferências de criptomoedas. Se o usuário copiar um endereço de carteira para enviar fundos, o malware substitui silenciosamente esse endereço por outro controlado pelo invasor antes que a vítima cole as informações no campo de envio. Como os endereços criptográficos são longos e difíceis de conferir visualmente, a troca pode passar despercebida e fazer com que os recursos sejam enviados diretamente ao crime.
O golpe explora uma fragilidade comum no uso de carteiras digitais: a confiança no recurso de copiar e colar. Em transações com criptomoedas, as transferências geralmente são irreversíveis. Por isso, se o usuário confirmar o envio para um endereço adulterado, não há uma instituição capaz de cancelar ou reverter a operação.
O malware também foi projetado para continuar se espalhando. Quando um pen drive limpo é conectado a um computador infectado, o worm vasculha o dispositivo em busca de arquivos comuns, como documentos do Word, planilhas do Excel e PDFs. Em seguida, substitua esses arquivos por novos atalhos com os mesmos nomes, mas infectados. Assim, quando o pen drive é removido para outro computador e o usuário clica nos supostos arquivos, o ciclo de infecção é recomendado.
A Microsoft recomenda desativar o AutoRun para mídias removíveis, bloquear a execução de arquivos “.lnk” em pen drives por meio de políticas de grupo e restringir hosts de script como wscript.exe e cscript.exe. Os clientes do Microsoft Defender também podem realizar consultas de busca para detectar sinais de ameaça, incluindo conexões com um proxy local da rede Tor na porta 9050.
A empresa publicou ainda uma lista de indicadores de comprometimento, incluindo hashes de arquivos e domínios “.onion” usados como servidores de comando e controle. Essas informações permitem que as equipes de segurança verifiquem se suas redes foram afetadas.
O alerta reforça um cuidado essencial para usuários de criptomoedas: nunca copie frases-semente ou chaves privadas em computadores conectados à internet ou de procedimento duvidoso. Também é consultar manualmente os primeiros e últimos caracteres do endereço de destino antes de confirmar qualquer transação, além de evitar o uso de pen drives desconhecidos.
Embora golpes com “crypto clippers” não sejam novos, a combinação com propagação por USB aumenta o potencial de distribuição em ambientes domésticos e corporativos. Para os investidores, o caso mostra que a segurança de uma carteira criptografada não depende apenas do blockchain ou da exchange usada, mas também dos hábitos digitais e da proteção do dispositivo em que as transações são feitas.
Quer investir na maior criptomoeda do mundo? No MB, você começa em poucos cliques e de forma totalmente segura e transparente. Não adie uma carteira promissória e faça mais pelo seu dinheiro. Abra sua conta e invista em bitcoin agora!
Fonteportaldobitcoin
