Vírus de USB Disseminado para Roubar Criptomoedas: Conheça o CryptoBandits
Especialistas da Microsoft alertam sobre uma nova ameaça cibernética que se espalha via USB e tem como alvo o roubo de criptomoedas. O malware, batizado de CryptoBandits, utiliza uma arquitetura inovadora com Tor para comunicação e execução remota de código.
MundiX News·23 de junho de 2026·4 min de leitura·👁 2 views
Especialistas da Microsoft emitiram um alerta sobre a descoberta de um novo malware para Windows, conhecido como clipper, que está ativo desde pelo menos fevereiro de 2026. Este programa malicioso se propaga através de dispositivos de armazenamento USB e tem como objetivo principal o roubo de criptomoedas. Ele opera monitorando a área de transferência, roubando seed phrases e chaves privadas, substituindo endereços de carteiras e enviando capturas de tela para seus operadores.
A campanha de ataque se destaca por sua arquitetura incomum. Em vez de utilizar um instalador tradicional e servidores de comando e controle convencionais, o malware, denominado CryptoBandits, instala um cliente Tor portátil na máquina da vítima e se comunica com os servidores de controle através de serviços .onion. Essa abordagem transforma o que seria um simples cryptostealer em um backdoor leve, capaz de executar código remotamente. O ataque se inicia com um pendrive infectado, onde os atacantes inserem um arquivo LNK malicioso. Ao abrir este atalho, um worm é ativado, verificando se o sistema já está comprometido e, em seguida, baixando componentes adicionais de um servidor remoto. Posteriormente, o malware busca por documentos em formatos populares como DOC, XLSX e PDF no dispositivo USB. Os arquivos encontrados são ocultados, e atalhos com os mesmos nomes são criados. Para o usuário, a experiência parece normal: ele clica duas vezes no 'documento', mas acaba executando o código malicioso. O worm também monitora a conexão de novos dispositivos USB, copiando-se automaticamente para eles, garantindo assim sua disseminação contínua. Para garantir persistência no sistema, tarefas são criadas no Agendador de Tarefas do Windows.
A carga útil principal desta campanha é o clipper. Antes de ser executado, ele verifica a lista de processos ativos e encerra sua operação caso detecte o Gerenciador de Tarefas. Para interagir com o sistema, o malware emprega o Windows Script Host e ActiveX. Após a execução, o malware ativa o cliente Tor renomeado, registra a vítima no servidor de controle e inicia uma troca constante de comandos através de um proxy SOCKS5 local. Simultaneamente, a cada meio segundo, o malware analisa o conteúdo da área de transferência. Os pesquisadores descobriram que o clipper procura por: seed phrases BIP39 de 12 e 24 palavras; chaves privadas Ethereum; chaves WIF; e endereços de carteiras Bitcoin (legacy, P2SH, Bech32, Taproot), Ethereum, Tron e Monero. Caso o usuário copie um endereço de carteira de criptomoeda, o malware o substitui na área de transferência por um endereço pertencente aos atacantes. Os valores são escolhidos de forma a que o endereço substituído se assemelhe visualmente ao original, evitando levantar suspeitas em uma verificação rápida. Além disso, o malware tira cinco capturas de tela a cada 10 segundos e as envia para seus operadores via Tor utilizando o comando curl. Conforme observado pelos especialistas, a funcionalidade mais perigosa do CryptoBandits está relacionada à execução remota de código. Se o servidor de controle retornar um comando EVAL, o malware baixa e executa o código JavaScript fornecido pelos atacantes. A Microsoft enfatiza que a detecção dessa ameaça é mais eficaz através do comportamento do que por meio de assinaturas. Entre os sinais característicos estão a atividade dos processos wscript.exe e cscript.exe, execuções inesperadas do PowerShell, cmd.exe e curl, conexões com localhost:9050, e o uso do Tor.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da Microsoft emitiram um alerta sobre a descoberta de um novo malware para Windows, conhecido como clipper, que está ativo desde pelo menos fevereiro de 2026. Este programa malicioso se propaga através de dispositivos de armazenamento USB e tem como objetivo principal o roubo de criptomoedas. Ele opera monitorando a área de transferência, roubando seed phrases e chaves privadas, substituindo endereços de carteiras e enviando capturas de tela para seus operadores.
A campanha de ataque se destaca por sua arquitetura incomum. Em vez de utilizar um instalador tradicional e servidores de comando e controle convencionais, o malware, denominado CryptoBandits, instala um cliente Tor portátil na máquina da vítima e se comunica com os servidores de controle através de serviços .onion. Essa abordagem transforma o que seria um simples cryptostealer em um backdoor leve, capaz de executar código remotamente. O ataque se inicia com um pendrive infectado, onde os atacantes inserem um arquivo LNK malicioso. Ao abrir este atalho, um worm é ativado, verificando se o sistema já está comprometido e, em seguida, baixando componentes adicionais de um servidor remoto. Posteriormente, o malware busca por documentos em formatos populares como DOC, XLSX e PDF no dispositivo USB. Os arquivos encontrados são ocultados, e atalhos com os mesmos nomes são criados. Para o usuário, a experiência parece normal: ele clica duas vezes no 'documento', mas acaba executando o código malicioso. O worm também monitora a conexão de novos dispositivos USB, copiando-se automaticamente para eles, garantindo assim sua disseminação contínua. Para garantir persistência no sistema, tarefas são criadas no Agendador de Tarefas do Windows.
A carga útil principal desta campanha é o clipper. Antes de ser executado, ele verifica a lista de processos ativos e encerra sua operação caso detecte o Gerenciador de Tarefas. Para interagir com o sistema, o malware emprega o Windows Script Host e ActiveX. Após a execução, o malware ativa o cliente Tor renomeado, registra a vítima no servidor de controle e inicia uma troca constante de comandos através de um proxy SOCKS5 local. Simultaneamente, a cada meio segundo, o malware analisa o conteúdo da área de transferência. Os pesquisadores descobriram que o clipper procura por: seed phrases BIP39 de 12 e 24 palavras; chaves privadas Ethereum; chaves WIF; e endereços de carteiras Bitcoin (legacy, P2SH, Bech32, Taproot), Ethereum, Tron e Monero. Caso o usuário copie um endereço de carteira de criptomoeda, o malware o substitui na área de transferência por um endereço pertencente aos atacantes. Os valores são escolhidos de forma a que o endereço substituído se assemelhe visualmente ao original, evitando levantar suspeitas em uma verificação rápida. Além disso, o malware tira cinco capturas de tela a cada 10 segundos e as envia para seus operadores via Tor utilizando o comando curl. Conforme observado pelos especialistas, a funcionalidade mais perigosa do CryptoBandits está relacionada à execução remota de código. Se o servidor de controle retornar um comando EVAL, o malware baixa e executa o código JavaScript fornecido pelos atacantes. A Microsoft enfatiza que a detecção dessa ameaça é mais eficaz através do comportamento do que por meio de assinaturas. Entre os sinais característicos estão a atividade dos processos wscript.exe e cscript.exe, execuções inesperadas do PowerShell, cmd.exe e curl, conexões com localhost:9050, e o uso do Tor.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
