Malware cripto foi identificado pela Microsoft

A Microsoft publicou em 17 de junho de 2026 uma análise técnica sobre uma campanha de malware voltada ao roubo de criptomoedas em computadores Windows. A ameaça foi identificada pela Microsoft Threat Intelligence e pelo Microsoft Defender Experts como um crypto clipper, tipo de malware que monitora a área de transferência do usuário.

Segundo o Portal do Bitcoin, a matéria foi publicada em 19 de junho de 2026, às 12h01, por Rodrigo Tolotti, com base no alerta da Microsoft. O antivírus Microsoft Defender detecta componentes da ameaça como Trojan:Win32/CryptoBandits.A, além de outras variações relacionadas ao mesmo ataque.

A campanha está ativa desde fevereiro de 2026 e chama atenção por combinar roubo de dados, substituição de endereços cripto, captura de tela e propagação por dispositivos USB. Não é um golpe baseado em promessa falsa de rendimento, mas em infecção técnica do sistema, aquela maravilha moderna que transforma um pen drive inocente em cavalo de Troia de camelô digital.

Pen drive infectado inicia o ataque

A infecção começa quando o usuário conecta um pen drive comprometido ao computador e abre um arquivo de atalho malicioso. No Windows, esses arquivos têm extensão .lnk e normalmente servem para abrir documentos, pastas ou programas.

A Microsoft afirma que os atalhos maliciosos foram distribuídos em dispositivos USB. Quando executado, o arquivo aciona um componente do tipo worm, capaz de se espalhar automaticamente e criar novos atalhos maliciosos com nomes de arquivos legítimos encontrados no dispositivo.

O The Hacker News detalhou que o payload .lnk verifica tipos comuns de documentos, como DOC, XLSX e PDF, oculta os arquivos reais e cria atalhos com os mesmos nomes. A vítima acha que está abrindo um documento comum, mas na prática executa o malware.

A ameaça também cria tarefas agendadas no Windows para manter persistência. Segundo a Microsoft, o worm instala payloads, tenta evitar varredura do Defender e mantém ativos tanto o módulo de propagação quanto o módulo de roubo.

Crypto clipper troca endereços e rouba seed phrase

O módulo clipper monitora a área de transferência do Windows cerca de a cada 500 milissegundos. Isso é relevante porque muitos usuários copiam e colam endereços de carteiras, seed phrases ou chaves privadas durante operações de autocustódia.

A Microsoft diz que o malware detecta seed phrases BIP39 de 12 ou 24 palavras copiadas pelo usuário. Depois, salva temporariamente os dados em arquivo local, envia ao servidor de comando e controle via Tor e apaga a cópia local após confirmar a transmissão.

A ameaça também detecta chaves privadas ligadas a Ethereum e Bitcoin WIF. Além disso, captura cinco screenshots com intervalo de dez segundos entre cada uma, dando ao invasor mais contexto sobre saldo, carteira, tela aberta e possível operação em andamento.

Alvo do malwareComo o ataque funciona
Seed phrase BIP39Detecta 12 ou 24 palavras copiadas
Chaves privadasMira Ethereum e Bitcoin WIF
Endereços criptoSubstitui o endereço copiado por outro do invasor
Tela do usuárioTira 5 capturas com 10 segundos de intervalo
ComunicaçãoEnvia dados por Tor para servidores ocultos

Bitcoin, Ethereum, Tron e Monero aparecem no ataque

Além de roubar seeds e chaves privadas, o malware tenta substituir endereços de destino em transações cripto. Esse é o ponto mais perigoso para quem opera rápido e confere só “por cima” antes de enviar fundos.

A Microsoft descreve regras específicas para diferentes formatos de endereço. No caso de endereços legados de Bitcoin, que começam com “1” e têm entre 32 e 36 caracteres, o malware tenta substituir por um endereço do invasor com os dois primeiros caracteres parecidos.

Também há regras para Bitcoin P2SH, que começa com “3”, e para endereços Taproot, que começam com “bc1p”. A Microsoft também menciona endereços Bech32, iniciados por “bc1q”, além de Tron, que começa com “T” e tem exatamente 34 caracteres, e Monero, com endereços iniciados por “4” ou “8” e exatamente 95 caracteres.

O golpe explora uma fraqueza humana simples: endereço cripto é longo, visualmente chato e muita gente só confere os primeiros caracteres. Acontece que o malware justamente tenta imitar parte do endereço para a troca passar despercebida.

Tor e backdoor deixam o ataque mais sofisticado

A Microsoft afirma que o clipper não depende de um instalador tradicional nem de uma infraestrutura de comando e controle baseada em IP exposto. Em vez disso, ele usa um cliente Tor portátil, roteia tráfego por um proxy local SOCKS5 e se comunica com serviços ocultos.

O malware lança um binário Tor renomeado como ugate.exe, aguarda cerca de 60 segundos para o Tor inicializar e registra o dispositivo infectado com um identificador da vítima. Depois disso, entra em loop contínuo, consultando o servidor de comando e controle em busca de instruções.

A análise também mostra que o malware pode executar código enviado pelo invasor em tempo real por meio de uma resposta chamada EVAL. Na prática, isso transforma um roubo financeiro simples em uma espécie de backdoor leve no computador da vítima.

Entre os sinais técnicos citados pela Microsoft estão uso suspeito de interpretadores de script, atividade em localhost:9050, comandos PowerShell de captura de tela e indícios de inspeção da área de transferência. Para empresas, esses sinais ajudam times de segurança a caçar infecções na rede.

Como o usuário cripto deve se proteger

Para quem usa Bitcoin ou outras criptomoedas, a recomendação mais prática é evitar copiar seed phrase ou chave privada em computador conectado à internet. Seed phrase não é senha de rede social; se ela vaza, a carteira pode ser esvaziada sem botão de “desfazer burrada”, porque blockchain não tem SAC simpático.

Outra medida básica é conferir manualmente os primeiros e últimos caracteres do endereço antes de confirmar qualquer envio. Melhor ainda é validar o endereço na tela de uma hardware wallet quando possível, especialmente em valores maiores.

Também faz sentido evitar pen drives desconhecidos, não abrir atalhos suspeitos e manter o Windows e o antivírus atualizados. Para empresas, a Microsoft recomenda observar execução via tarefas agendadas, tráfego Tor com curl e conexões suspeitas por proxy local.

O caso mostra que segurança cripto não depende só da blockchain. Depende do ambiente onde o usuário assina, copia, cola e confirma transações. A rede pode estar funcionando perfeitamente, enquanto o computador do usuário está sendo tratado como buffet livre por malware.