A Microsoft detectou que o Crypto Clipper do Windows rouba frases-semente, chaves e carteiras por meio do Tor e de unidades USB

Microsoft Descobre Malware que Rouba Criptomoedas via USB e Tor

A Microsoft detectou uma campanha maliciosa ativa desde fevereiro, que utiliza um malware chamado CryptoBandits para roubar carteiras de criptomoedas de usuários Windows.

• O malware combina técnicas antigas de propagação por USB com anonimato via rede Tor.
• Ele rouba frases-semente, chaves privadas e substitui endereços de carteira na área de transferência.

Como a Infecção Ocorre

A infecção começa por um pen drive. O malware acessa arquivos de atalho em unidades removíveis e, ao conectar o dispositivo, substitui arquivos reais (como DOC, PDF) por atalhos falsos. Ao clicar, o usuário ativa o código malicioso, que se espalha para o computador e configura tarefas agendadas para persistir após reinicializações.

Dificuldade de Detecção

O malware usa scripts e objetos ActiveX em vez de instaladores comuns, dificultando a detecção. Ele inicia um cliente Tor em janela oculta e se comunica com servidores de comando e controle por endereços onion, tornando o canal de dados invisível.

Ação do Malware

O programa verifica a área de transferência a cada meio segundo, procurando frases-semente BIP39 e chaves Bitcoin no formato WIF. Ele salva um backup local e envia os dados para os atacantes via Tor, excluindo a cópia local após o envio bem-sucedido. Além disso, tira capturas de tela para monitorar saldos e pode substituir endereços de carteira copiados pelo usuário por endereços controlados pelos invasores.

O Microsoft Defender Antivirus agora identifica a ameaça como Trojan:Win32/CryptoBandits.A.