A Microsoft identificou um malware que se espalha por pen drives e mira carteiras de criptomoedas em computadores Windows. Segundo a empresa, a ameaça está ativa desde fevereiro e é classificada como um “crypto clipper”, tipo de golpe que monitora dados copiados pelo usuário e troca endereços de carteiras para desviar transações.O antivírus Microsoft Defender identifica o malware como Trojan/CryptoBandits. A infecção começa quando o usuário conecta ao computador um pen drive já comprometido, contendo um atalho malicioso. No Windows, arquivos de atalho terminam em “.lnk” e servem para abrir programas, pastas ou documentos armazenados em outro local do computador.Ao clicar nesse atalho, a vítima instala um worm, tipo de malware capaz de se espalhar automaticamente. Uma vez no computador, ele executa duas funções ao mesmo tempo: mantém ativo o código responsável por roubar dados de carteiras cripto e fica esperando que um novo pen drive limpo seja conectado à máquina para infectá-lo também.A parte voltada ao roubo de criptomoedas monitora a área de transferência do Windows, usada em operações de copiar e colar, aproximadamente a cada 500 milissegundos. Quando o usuário copia uma seed phrase ou chave privada de uma carteira de Bitcoin ou Ethereum, o malware captura a informação e envia os dados ao servidor do invasor pela rede Tor, usada para comunicações anônimas.Além disso, o malware tira cinco capturas de tela, com intervalo de dez segundos entre cada uma, e também envia as imagens aos criminosos. Isso amplia o risco para a vítima, já que informações sensíveis exibidas na tela podem ser coletadas mesmo que não tenham sido copiadas.Leia também: CEO da Microsoft AI diz quando a IA irá automatizar a maioria dos trabalhosO ataque também mira transferências de criptomoedas. Se o usuário copia um endereço de carteira para enviar fundos, o malware substitui silenciosamente esse endereço por outro controlado pelo invasor antes que a vítima cole a informação no campo de envio. Como endereços cripto são longos e difíceis de conferir visualmente, a troca pode passar despercebida e fazer com que os recursos sejam enviados diretamente ao criminoso.O golpe explora uma fragilidade comum no uso de carteiras digitais: a confiança no recurso de copiar e colar. Em transações com criptomoedas, transferências geralmente são irreversíveis. Por isso, se o usuário confirma o envio para um endereço adulterado, não há uma instituição capaz de cancelar ou reverter a operação.O malware também foi projetado para continuar se espalhando. Quando um pen drive limpo é conectado ao computador infectado, o worm vasculha o dispositivo em busca de arquivos comuns, como documentos do Word, planilhas do Excel e PDFs. Em seguida, substitui esses arquivos por novos atalhos com os mesmos nomes, mas infectados. Assim, quando o pen drive é levado para outro computador e o usuário clica nos supostos arquivos, o ciclo de infecção recomeça.A Microsoft recomenda desativar o AutoRun para mídias removíveis, bloquear a execução de arquivos “.lnk” em pen drives por meio de políticas de grupo e restringir hosts de script como wscript.exe e cscript.exe. Clientes do Microsoft Defender também podem executar consultas de hunting para procurar sinais da ameaça, incluindo conexões com um proxy local da rede Tor na porta 9050.A empresa publicou ainda uma lista de indicadores de comprometimento, incluindo hashes de arquivos e domínios “.onion” usados como servidores de comando e controle. Essas informações permitem que equipes de segurança verifiquem se suas redes foram afetadas.O alerta reforça um cuidado essencial para usuários de criptomoedas: nunca copiar seed phrases ou chaves privadas em computadores conectados à internet ou de procedência duvidosa. Também é recomendável conferir manualmente os primeiros e últimos caracteres do endereço de destino antes de confirmar qualquer transação, além de evitar o uso de pen drives desconhecidos.Embora golpes com “crypto clippers” não sejam novos, a combinação com propagação por USB aumenta o potencial de disseminação em ambientes domésticos e corporativos. Para investidores, o caso mostra que a segurança de uma carteira cripto não depende apenas da blockchain ou da exchange usada, mas também dos hábitos digitais e da proteção do dispositivo em que as transações são feitas.Quer investir na maior criptomoeda do mundo? No MB, você começa em poucos cliques e de forma totalmente segura e transparente. Não adie uma carteira promissora e faça mais pelo seu dinheiro. Abra sua conta e invista em bitcoin agora!O post Microsoft identifica malware que rouba carteiras cripto e se espalha por pen drives apareceu primeiro em Portal do Bitcoin.