A Microsoft Threat Intelligence e a Microsoft Defender Experts afirmaram ter identificado um clipper de cripto para Windows que tem vindo a atingir utilizadores desde fevereiro de 2026. O malware propaga-se através de atalhos .lnk maliciosos e pen drives USB, lança um proxy Tor integrado via Windows Script Host e ActiveX, e liga-se a servidores de comando e controlo em hidden services.
Por que razão isto importa
O toolkit do operador vai muito além do truque clássico de substituição de endereços. A Microsoft indicou que o malware consegue roubar dados da área de transferência, exfiltrar seed phrases e chaves privadas, capturar capturas de ecrã e reescrever os endereços de destino das wallets na área de transferência — o que significa que uma única máquina infetada pode drenar hot wallets, software wallets e qualquer fluxo de trabalho que cole um endereço antes de enviar. O Microsoft Defender Antivirus deteta a família como Trojan:Win32/CryptoBandits.A.
Impacto no mercado
O vetor offline — USB e ficheiros de atalho em vez de páginas de phishing — é a parte que a comunidade de segurança vai estudar com mais atenção, uma vez que contorna as proteções de email e de browser em que a maioria dos utilizadores de retalho confia. Para os investidores, a leitura prática mantém-se: manter saldos significativos fora de máquinas ligadas à internet, verificar os endereços carácter a carácter no ecrã de uma hardware wallet e tratar qualquer host Windows que toque em seed phrases como cold storage comprometida por defeito.
Mantenha-se protegido
O Microsoft Defender deteta e coloca em quarentena esta família automaticamente, mas malware do tipo clipper com propagação offline tende a persistir em máquinas com patches em falta. Execute uma análise completa do Defender, verifique todas as pen drives USB que tenham tocado em hosts desconhecidos e parta do princípio de que qualquer máquina usada para gerar ou colar uma seed phrase deixou de ser segura para esse efeito.
Perguntas frequentes
-
O que é o Trojan:Win32/CryptoBandits.A?
É o nome de deteção do Microsoft Defender para uma família de clippers de cripto para Windows ativa desde fevereiro de 2026. Propaga-se via atalhos .lnk maliciosos e pen drives USB, executa um proxy Tor integrado e liga-se a servidores C2 em hidden services.
-
Como é que este malware do tipo clipper rouba cripto de facto?
Pode exfiltrar dados da área de transferência, seed phrases e chaves privadas, capturar capturas de ecrã e reescrever os endereços de wallet de destino na área de transferência, de modo a que um único host infetado consiga drenar hot wallets de ponta a ponta.
-
Por que razão o vetor de propagação via USB e atalhos .lnk é relevante?
Contorna as proteções de email e de browser em que a maioria dos utilizadores de retalho confia. O malware chega ao host offline, pelo que as defesas padrão contra phishing não apanham a infeção inicial.
-
O Microsoft Defender protege contra este clipper?
Sim. O Microsoft Defender Antivirus deteta a família como Trojan:Win32/CryptoBandits.A e coloca-a em quarentena automaticamente. Uma análise completa do Defender apanha as infeções num host.
-
O que devem fazer os detentores de cripto se uma máquina Windows estiver infetada?
Verifiquem todas as pen drives USB que tenham tocado no host, executem uma análise completa do Defender e tratem qualquer máquina usada para gerar ou colar uma seed phrase como cold storage comprometida. Movam os fundos para uma wallet nova cuja seed nunca tenha vivido na máquina afetada e rodem os endereços.
TheBlock
CoinTelegraph
Lookonchain
CryptoSlate
Crypto News