O malware CryptoBandits permite que criminosos usem a sua pen USB para aceder a carteiras de criptomoedas – alerta a Microsoft

A mais recente investigação da Microsoft sobre malware de criptomoedas aponta para as carteiras de criptomoedas, um dos vários pontos onde uma transação pode falhar, como uma fraqueza prática fundamental na autocustódia.

Uma máquina Windows comprometida pode alterar o endereço que um utilizador copia, expor uma frase-semente antes de uma transferência ser assinada, ou enviar capturas de ecrã e contexto da carteira para um atacante.

Num relatório do Security Blog de 17 de junho, a Microsoft afirmou que o malware CryptoBandits, detetado como "CryptoBandits.A", estava ativo desde fevereiro de 2026 e chegou aos sistemas através de ficheiros de atalho maliciosos do Windows em dispositivos de armazenamento USB.

O malware também rouba segredos de carteiras, troca endereços copiados e comunica com infraestruturas de comando e controlo através do Tor. A Microsoft afirmou que monitoriza a área de transferência aproximadamente a cada 500 milissegundos e procura frases-semente, chaves privadas e endereços de carteiras.

As carteiras de hardware, a verificação de endereços e a disciplina com frases-semente continuam a ser controlos necessários. Mas se o endpoint que gere um fluxo de trabalho de carteira for comprometido, o atacante pode ver o segredo, alterar o destino ou observar o ecrã antes de o utilizador perceber que algo está errado.

A CryptoSlate já abordou padrões adjacentes de roubo de carteiras, incluindo substituição de endereços ao estilo ClipBanker e malware de carteiras associado à Microsoft. O novo elemento no relatório da Microsoft é a combinação de propagação por USB, roubo da área de transferência, controlo via Tor e orientações operacionais para detetar o comportamento.

Como o malware CryptoBandits transforma atalhos USB em execução

A Microsoft afirmou que o acesso inicial ocorre através de ficheiros .lnk maliciosos, incluindo atalhos distribuídos em dispositivos de armazenamento USB. Nos casos analisados pela Microsoft, o atalho prepara um componente de worm.

O malware analisa então a unidade USB à procura de ficheiros de documentos comuns, como .doc, .xlsx e .pdf, oculta os originais e cria novos ficheiros de atalho com os mesmos nomes de ficheiro.

O resultado é uma armadilha familiar: o utilizador pensa que está a abrir um documento de um suporte amovível, mas está a lançar o payload do worm. Esse comportamento enquadra-se no padrão de segurança mais amplo que o MITRE ATT&CK descreve como replicação através de suportes amovíveis, mas a consequência específica para as criptomoedas é mais direta.

Uma máquina utilizada para assinar, copiar ou verificar detalhes de carteiras torna-se parte da superfície de ataque.

Assim que o atalho malicioso é executado, a Microsoft afirmou que o malware deposita payloads JavaScript ofuscados em C:\Users\Public\Documents, utiliza tarefas agendadas para persistência e mantém uma tarefa focada em propagar-se para novas unidades USB inseridas. Outra tarefa executa a atividade de roubo.

O ataque começa frequentemente com o manuseamento comum de ficheiros. Uma unidade USB partilhada, um ficheiro copiado ou um hábito antigo com suportes amovíveis pode colocar um endpoint de gestão de carteiras num estado inseguro antes de qualquer software de carteira ser aberto.

Isso transforma o uso rotineiro de suportes amovíveis num risco de malware USB para qualquer dispositivo que posteriormente interaja com fluxos de trabalho de carteiras.

No entanto, os métodos de prevenção são práticos. O momento de risco é a execução do atalho e a persistência que se segue, antes de uma ação de carteira começar.

Para uma pessoa ou equipa que movimenta criptomoedas, o dispositivo que abre suportes amovíveis pode também ser o que posteriormente copia um endereço de depósito, apresenta um fluxo de recuperação ou prepara uma transferência de tesouraria.

Para as operações de carteiras, a política de suportes amovíveis torna-se parte das operações de custódia. Um utilizador ou equipa que trate uma estação de trabalho de assinatura como um computador de uso geral herda os riscos de todos os fluxos de trabalho de documentos associados a essa máquina.

Os dispositivos utilizados para atividade de carteiras precisam de ter menos formas de executar atalhos, scripts e payloads não confiáveis.

O ataque começa como um problema de atalho do Windows e depois torna-se um problema de controlo de carteiras. Uma vez comprometido o endpoint, a sequência normal do utilizador de copiar endereços, verificar ecrãs e preparar transações fornece ao malware exatamente o material para o qual foi criado.

Como o malware CryptoBandits transforma a área de transferência no caminho da transação

A análise da Microsoft mostra por que razão um clipper de criptomoedas se torna grave quando os fundos estão em autocustódia. Após registar-se no servidor de comando e controlo, o malware entra num ciclo contínuo que verifica a área de transferência aproximadamente a cada meio segundo.

Procura frases-semente BIP39 de 12 ou 24 palavras, chaves WIF de Bitcoin, chaves Ethereum e endereços de criptomoedas.

Se encontrar uma frase-semente ou chave privada, a Microsoft afirmou que o malware pode guardá-la localmente e exfiltrá-la através do Tor. Se detetar um endereço de criptomoeda copiado, pode substituir esse valor por um endereço controlado pelo atacante.

Para vários formatos de endereço, a Microsoft afirmou que o malware tenta fazer com que a substituição pareça suficientemente semelhante para escapar a verificações rápidas, como corresponder os primeiros caracteres de alguns endereços de Bitcoin, Tron ou Monero, ou alterar apenas o último caractere em alguns endereços Bitcoin no estilo Bech32.

A Microsoft trata a substituição de endereços na área de transferência como um problema de roubo de carteiras há anos. Num relatório de 2022 sobre cryware e hot wallets, a empresa descreveu o clipping e switching como técnicas que intercetam dados de carteiras antes de uma transação estar concluída.

O relatório CryptoBandits.A mostra esse padrão associado à propagação por suportes amovíveis e ao tráfego de comandos baseado em Tor.

As orientações oficiais de suporte de carteiras reforçam o ângulo da custódia. A documentação da MetaMask trata frases-semente e chaves privadas como segredos de controlo de carteiras e diz separadamente aos utilizadores para verificarem os endereços dos destinatários antes de confirmar um envio.

O CryptoBandits.A visa ambos os lados desse fluxo de trabalho: o segredo que controla a carteira e o endereço que recebe os fundos.

As carteiras de hardware deixam o risco do endpoint no fluxo de trabalho

Este é um aviso específico sobre o endpoint relativamente ao dispositivo em torno da carteira. Manter as chaves privadas isoladas continua a ser uma das defesas mais sólidas contra muitos ataques comuns a carteiras.

Uma suposição fraca é que a proteção de hardware cobre cada passo numa transação. As carteiras de hardware podem proteger as chaves de assinatura, mas não conseguem tornar a área de transferência de um computador comprometido confiável. Se um utilizador copiar um endereço de depósito de uma exchange, um endereço de pagamento ou um endereço de transferência de tesouraria numa máquina infetada, o malware pode alterar o valor antes de o utilizador o colar.

Se o utilizador verificar apenas alguns caracteres familiares, um endereço substituto concebido para parecer semelhante pode ainda passar numa revisão apressada.

As frases-semente criam um modo de falha mais grave. Uma frase de recuperação digitada ou copiada através de uma máquina Windows comprometida torna-se um risco de comprometimento remoto.

A Microsoft afirmou que o malware pode identificar frases no estilo BIP39 e exfiltrá-las para o servidor de comando e controlo. Uma vez exposto esse tipo de segredo, o risco estende-se para além de uma única tentativa de transferência.

Para os indivíduos, a higiene das carteiras é em parte higiene do dispositivo. Para fundos geridos por equipas, os procedimentos de custódia precisam de tratar o comportamento do endpoint como parte do processo de aprovação de transações.

Uma máquina utilizada para inspecionar saldos, preparar transferências, fazer bridge de ativos ou mover fundos de uma exchange deve ter um perfil de risco diferente de uma estação de trabalho que também abre suportes amovíveis desconhecidos.

O padrão útil é a separação. Um dispositivo que gere atividade de carteiras deve ter menos razões para executar scripts, abrir atalhos de unidades USB ou copiar material de recuperação através da área de transferência.

Quando um fluxo de trabalho depende de copiar e colar, o destino mostrado no dispositivo de assinatura ou no ecrã confiável tem mais peso do que o endereço mostrado num browser ou janela de chat.

Se se suspeitar que uma estação de trabalho foi exposta, a resposta também muda. A exposição pode incluir mais do que apenas um endereço errado numa única transação pendente.

Pode incluir material de recuperação, chaves privadas, capturas de ecrã e execução de comandos na mesma máquina. Isso empurra a remediação para isolar o endpoint, rodar o material de carteira exposto e rever qualquer transferência preparada nesse dispositivo.

A deteção depende de sinais comportamentais

As orientações de mitigação da Microsoft focam-se no comportamento. A empresa recomenda desativar o AutoRun e o AutoPlay para suportes amovíveis, bloquear a execução de .lnk a partir de unidades amovíveis através da Política de Grupo sempre que possível, restringir o uso desnecessário de hosts de scripts como wscript.exe e cscript.exe, e rever as regras de Redução da Superfície de Ataque para scripts ofuscados e cadeias suspeitas de processos filho.

Para as equipas de segurança, os sinais mais fortes são comportamentais. A Microsoft afirmou que os defensores devem investigar casos em que motores de scripts lançam ferramentas como curl, cmd.exe, PowerShell ou executáveis inesperados.

Também destacou a atividade de proxy SOCKS5 local em localhost:9050, comportamento relacionado com a área de transferência e atividade de captura de ecrã do PowerShell em dispositivos que gerem fluxos de trabalho financeiros sensíveis.

Esses sinais alinham-se com várias técnicas padrão do ATT&CK, incluindo recolha de dados da área de transferência, comando e controlo baseado em proxy e persistência de tarefas agendadas.

O Microsoft Defender também lista capacidade de deteção para o CryptoBandits, incluindo Trojan:Win32/CryptoBandits.A e deteções JavaScript relacionadas, juntamente com cobertura EDR para processos JavaScript suspeitos, exfiltração baseada em curl e atividade do Agendador de Tarefas.

O relatório da Microsoft não divulga o número de vítimas, os totais de roubos confirmados, a distribuição geográfica nem a atribuição a atores identificados. Isso limita qualquer afirmação sobre a escala dos danos financeiros.

A lição de custódia assenta no comportamento observado: um fluxo de trabalho de carteira pode ser comprometido antes de uma transação chegar à chain.

A conclusão imediata é que os utilizadores e operadores de criptomoedas devem tratar os endpoints como parte da pilha de carteiras. Os controlos USB, as restrições de scripts, a verificação de endereços e a disciplina com a área de transferência fazem parte da segurança da autocustódia.

São o caminho que uma transação percorre antes de chegar à chain.

O artigo O malware CryptoBandits permite que criminosos usem a sua unidade USB para aceder a carteiras de criptomoedas – avisa a Microsoft foi publicado primeiro no CryptoSlate.