CryptoBandits usa USB para atacar carteiras cripto
A Microsoft alertou que o malware CryptoBandits.A, ativo desde fevereiro de 2026, mira carteiras de criptomoedas por meio de arquivos de atalho maliciosos do Windows em dispositivos USB. A ameaça combina propagação por mídia removível, roubo de segredos de carteira, troca de endereços copiados e comunicação com servidores de comando e controle pela rede Tor.
Além disso, o malware monitora a área de transferência aproximadamente a cada 500 milissegundos. Assim, ele tenta identificar frases-semente, chaves privadas e endereços de carteiras. Em um computador Windows comprometido, o invasor pode trocar o endereço copiado pelo usuário, capturar dados de recuperação e enviar capturas de tela com contexto da carteira.
Atalhos em USB simulam arquivos comuns
CryptoBandits oculta documentos e cria cópias falsas
Segundo a Microsoft, o acesso inicial ocorre por arquivos .lnk maliciosos, inclusive atalhos distribuídos em unidades USB. Em seguida, o malware executa um componente de worm, procura arquivos como .doc, .xlsx e .pdf, oculta os originais e cria novos atalhos com os mesmos nomes.
Dessa forma, o usuário acredita que abriu um documento normal armazenado no pendrive. No entanto, ele inicia a carga maliciosa. A Microsoft associa esse comportamento à replicação por mídia removível, descrita pelo MITRE ATT&CK. No contexto de autocustódia, o impacto é direto. Afinal, o mesmo computador usado para assinar transações passa a integrar a superfície de ataque.
Depois da execução do atalho, o malware deposita cargas em JavaScript ofuscado em C:UsersPublicDocuments. Também cria tarefas agendadas para persistência e mantém uma delas dedicada a se espalhar para novas unidades USB conectadas. Ao mesmo tempo, outra tarefa executa as funções de roubo de dados. Assim, abrir um arquivo em um pendrive compartilhado pode comprometer o dispositivo antes mesmo de qualquer software de carteira ser iniciado.
Área de transferência vira alvo central
Malware busca frases-semente, chaves e endereços
A análise mostra por que um clipper é especialmente perigoso em cenários de autocustódia. Após se registrar no servidor de comando e controle, o CryptoBandits entra em um ciclo contínuo de verificação da área de transferência. O intervalo fica em torno de meio segundo. A busca inclui frases-semente BIP39 de 12 ou 24 palavras, chaves WIF de Bitcoin, chaves de Ethereum e endereços de criptomoedas.
Se encontrar uma frase-semente ou chave privada, o CryptoBandits pode salvar o material localmente e exfiltrá-lo por meio da rede Tor. Além disso, se detectar um endereço de criptomoeda copiado, o malware pode substituí-lo por um endereço controlado pelo criminoso. Em alguns formatos, a troca tenta manter semelhança visual suficiente para passar por uma checagem apressada.
Esse método inclui coincidência dos primeiros caracteres em endereços de Bitcoin, Tron ou Monero. Também inclui a alteração de apenas um caractere final em certos endereços Bech32 de Bitcoin.
A própria Microsoft já havia tratado a substituição de endereços na área de transferência como um problema recorrente de roubo de carteiras. Em 17 de maio de 2022, a empresa descreveu técnicas de interceptação de dados de carteira antes da conclusão da transação. No caso do CryptoBandits.A, esse padrão aparece combinado com propagação via USB e tráfego de comando roteado pela rede Tor.
Da mesma forma, a MetaMask trata frases-semente e chaves privadas como segredos de controle da carteira. Ademais, a carteira orienta os usuários a verificar endereços de destino antes de confirmar envios de tokens. O CryptoBandits ataca exatamente esses dois pontos.
| Comportamento observado | Risco de custódia | Resposta prática |
|---|---|---|
| Arquivos de atalho USB maliciosos | Uma ação comum de abrir arquivo pode iniciar o worm. | Desativar AutoRun ou AutoPlay quando possível e bloquear a execução de .lnk a partir de unidades removíveis. |
| Monitoramento da área de transferência e troca de endereços | O endereço do destinatário pode ser alterado antes do envio. | Verificar o destino completo em uma tela confiável e não depender apenas do conteúdo copiado. |
| Extração de frases-semente e chaves privadas | Segredos de controle da carteira podem sair do dispositivo antes de qualquer movimentação onchain. | Manter o material de recuperação fora de máquinas conectadas à rede e tratar a exposição como evento de rotação da carteira. |
| Envio de capturas de tela | O invasor pode visualizar contexto da carteira, saldos e fluxos de recuperação. | Evitar exibir material sensível de carteiras em máquinas de uso geral. |
Tráfego de comando pela Tor via localhost:9050 | O bloqueio por destino se torna mais difícil com o uso de proxy local. | Investigar cadeias de script para rede, uso de curl e comportamento de proxy SOCKS5 local. |
Carteiras de hardware reduzem, mas não zeram o risco
Computador infectado continua vulnerável
A Microsoft destaca que a proteção por hardware segue entre as defesas mais fortes para isolar chaves privadas. Ainda assim, ela não torna confiável a área de transferência de um computador comprometido. Se o usuário copia um endereço de depósito de exchange, de pagamento ou de transferência em uma máquina infectada, o malware pode alterar esse valor antes da colagem.
Se a conferência ocorrer apenas com alguns caracteres iniciais ou finais, um endereço adulterado para parecer semelhante pode passar despercebido. Além disso, o problema se torna mais grave no caso das frases-semente. Uma frase de recuperação digitada ou copiada em um computador Windows comprometido representa risco de comprometimento remoto da carteira. Segundo a Microsoft, o malware consegue identificar frases no padrão BIP39 e enviá-las ao servidor de comando e controle.
Por isso, usuários individuais e equipes que movimentam fundos devem tratar o comportamento do endpoint como parte do processo de custódia. Um dispositivo usado para consultar saldos, preparar transferências, fazer ponte de ativos ou retirar recursos de uma exchange precisa ter perfil de risco diferente. Ele não deve seguir o mesmo padrão de uma estação de trabalho que abre arquivos de mídias removíveis desconhecidas. Nesse sentido, a separação de funções continua sendo a medida mais útil.
Detecção depende de comportamento suspeito
Microsoft cita sinais técnicos e mitigação
As orientações da Microsoft para mitigação são centradas em comportamento. A empresa recomenda desativar AutoRun e AutoPlay para mídias removíveis. Também recomenda bloquear a execução de .lnk a partir dessas unidades por meio de Group Policy quando possível. Além disso, orienta restringir o uso desnecessário de mecanismos de script, como wscript.exe e cscript.exe. A revisão de regras de redução de superfície de ataque também entra nas recomendações, sobretudo contra scripts ofuscados e cadeias suspeitas de processos filhos.
Para equipes de segurança, os sinais mais fortes incluem mecanismos de script iniciando ferramentas como curl, cmd.exe, PowerShell ou executáveis inesperados. Além disso, a Microsoft cita atividade de proxy SOCKS5 local em localhost:9050, comportamentos ligados à área de transferência e uso de PowerShell para captura de tela em dispositivos que lidam com fluxos financeiros sensíveis.
Esses indícios se alinham a técnicas conhecidas do MITRE ATT&CK para coleta de área de transferência, uso de proxy em comando e controle e persistência por tarefas agendadas.
Por fim, a Microsoft Defender indica capacidade de detecção para o CryptoBandits, incluindo a identificação Trojan:Win32/CryptoBandits.A e outras detecções associadas a JavaScript. A cobertura EDR também abrange processos suspeitos em JavaScript, exfiltração com curl e atividade do Agendador de Tarefas. O relatório não informa número de vítimas, valores confirmados de roubo, distribuição geográfica nem atribuição formal a um grupo específico. Ainda assim, a empresa afirma que o comportamento observado já basta para mostrar que um fluxo de carteira pode ser comprometido antes mesmo de a transação chegar à blockchain.