A Microsoft emitiu um alerta sobre um malware perigoso que está visando usuários de Windows desde fevereiro de 2026. Esse software malicioso, conhecido como Crypto Clippermonitora a área de transferência a cada 0,5 segundo, substituindo endereços de criptomoedas copiados por endereços controlados pelos atacantes.
O malware se espalha através de dispositivos USB e utiliza a rede Tor para comunicação, tornando difícil rastrear os criminosos. A Microsoft destaca que, embora essa ameaça não seja nova, é crucial que os usuários verifiquem cuidadosamente os endereços de destino de suas transações.
Como o malware opera
O relatório da Microsoft revela que o malware é composto por dois componentes principais: um worm que garante sua propagação e um infostealer que coleta informações de carteiras de criptomoedas. O Crypto Clipper monitora a área de transferência em busca de endereços de criptomoedasfrases-semente e chaves privadas.
“Ele também sequestra endereços de criptomoedas ao substituir valores de carteira copiados por alternativas controladas pelo atacante e envia capturas de tela via Tor,” explica o relatório. O malware é distribuído via dispositivos USB através de atalhos com a extensão .lnkque prepara um componente worm na forma de um executável.
“A carga.lnk examina o dispositivo USB em busca de arquivos de documentos comuns, como.doc,.xlsx e.pdf, oculta os arquivos originais e cria atalhos.lnk adicionais com os mesmos nomes de arquivo. Esses atalhos são configurados com argumentos que apontam para o payload do worm. O usuário final não percebe que está iniciando um executável ao abrir os arquivos.lnk,” detalha a Microsoft.
Técnicas de ofuscação e comando e controle
Para evitar detecção, o malware utiliza métodos avançados de ofuscação. “A amostra também incorpora uma verificação anti-análise básica consultando a classe WMI Win32_Process e encerrando a execução se o Gerenciador de Tarefas for detectado. Embora simples, esse mecanismo pode dificultar a inspeção manual e atrasar os esforços iniciais de triagem,” explicam os especialistas.
A parte de comando e controle é feita via Tor, roteado através do endereço de IP local 127.0.0.1:9050. “Roubo de área de transferência direcionado a frases-semente, chaves e endereços de carteiras; captura de tela via PowerShell oferece visibilidade operacional,” destaca o relatório.
Como se proteger
Para se proteger desse ataque, a Microsoft recomenda que os usuários verifiquem cuidadosamente os endereços de destino de suas transações. Além disso, a empresa publicou uma lista de recomendações de segurança:
- Desativar AutoRun/AutoPlay para todas as mídias removíveis;
- Bloquear a execução de.lnk a partir de unidades removíveis via GPO;
- Restringir o uso desnecessário de wscript.exe, cscript.exe e hosts de script semelhantes, sempre que possível;
- Revisar e habilitar regras relevantes de Redução da Superfície de Ataque, especialmente aquelas focadas na execução de scripts ofuscados e em comportamentos suspeitos de processos filhos;
- Investigar cadeias de script para rede envolvendo curl, PowerShell ou cmd.exe;
- Caçar atividade de proxy SOCKS5 local em localhost:9050;
- Revisar comportamentos relacionados à área de transferência e captura de tela em dispositivos que lidam com fluxos financeiros sensíveis.
Até o momento, não há informações sobre perdas financeiras ligadas a este ataque. No entanto, a Microsoft enfatiza a importância de manter-se vigilante e adotar medidas preventivas para evitar ser vítima desse tipo de malware.
