A Microsoft publicou nesta semana um alerta sobre um “Crypto Clipper”, ou seja, um malware que muda os endereços de criptomoedas das vítimas para endereços dos atacantes na hora em que são colados (CTRL+V).
Segundo os especialistas, a ameaça afeta usuários de sistemas operacionais Windows desde fevereiro de 2026, se espalhando por dispositivos USB e, posteriormente, utiliza Tor para comunicação.
Embora a ameaça não seja nova, o texto é um lembrete para que usuários verifiquem os endereços de destino de suas transações com atenção.
Clipper chamou a atenção da Microsoft por não depender de um instalador tradicional
O relatório da Microsoft destaca que o malware é composto de dois componentes: um worm que garante a propagação das informações e um infostealer que coleta e exfiltra informações de carteiras de criptomoedas.
Em suma, o clipper monitora a área de transferência (CTRL+C) a cada 0,5 segundo em busca de endereços, frases-sementes e chaves privadas de criptomoedas.
“Ele também sequestra endereços de criptomoedas ao substituir valores de carteira copiados por alternativas controladas pelo atacante e envia capturas de tela via Tor.”
O malware seria distribuído via dispositivos USB por meio de atalhos com a extensão “.lnk” que prepara um componente worm na forma de um executável.
“A carga .lnk examina o dispositivo USB em busca de arquivos de documentos comuns, como .doc, .xlsx e .pdf, oculta os arquivos originais e cria atalhos .lnk adicionais com os mesmos nomes de arquivo. Esses atalhos são configurados com argumentos que apontam para o payload do worm. O usuário final não percebe que está iniciando um executável ao abrir os arquivos .lnk.”
Para driblar processos de defesa, o malware utiliza métodos avançados de ofuscação.
“A amostra também incorpora uma verificação anti-análise básica consultando a classe WMI Win32_Process e encerrando a execução se o Gerenciador de Tarefas for detectado. Embora simples, esse mecanismo pode dificultar a inspeção manual e atrasar os esforços iniciais de triagem.”
Seguindo, os especialistas explicam que a parte de comando e controle é feita via Tor, roteado através do endereço de IP local 127.0.0.1:9050.
“Roubo de área de transferência direcionado a frases-semente, chaves e endereços de carteiras; captura de tela via PowerShell oferece visibilidade operacional.”
Como se proteger desse ataque?
Para os casos de substituição de endereços na hora de copiar e colar, usuários devem conferir se o endereço bate com o original. Além disso, a Microsoft publicou uma lista com outras recomendações de segurança.
- Desativar AutoRun/AutoPlay para todas as mídias removíveis;
- Bloquear a execução de .lnk a partir de unidades removíveis via GPO;
- Restringir o uso desnecessário de wscript.exe, cscript.exe e hosts de script semelhantes, sempre que possível;
- Revisar e habilitar regras relevantes de Redução da Superfície de Ataque, especialmente aquelas focadas na execução de scripts ofuscados e em comportamentos suspeitos de processos filhos;
- Investigar cadeias de script para rede envolvendo curl, PowerShell ou cmd.exe;
Caçar atividade de proxy SOCKS5 local em localhost:9050; - Revisar comportamentos relacionados à área de transferência e captura de tela em dispositivos que lidam com fluxos financeiros sensíveis.
Até o momento, não há informações sobre perdas financeiras ligadas a este ataque.
