A carregar preços…
Zipp Zipp Anunciar
Criar conta Iniciar sessão
🩸BEARISH CoinDesk

Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH

O CryptoBandits mostra uma escalada silenciosa: o sequestro da área de transferência combinado com a substituição do endereço em tempo real durante uma transferência via copiar-colar transforma uma simples pen USB numa drenagem completa da carteira, com exfiltração via Tor para…

Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH
Microsoft alerta: worm USB troca endereços de carteiras BTC e ETH

A Microsoft revelou uma peça de malware que apelida de "crypto clipper", que tem vindo a propagar-se através de pen USB infetadas desde fevereiro, sequestrando carteiras de criptomoedas em Windows. Detetado pelo Defender como Trojan:Win32/CryptoBandits, o worm instala-se através de um atalho .lnk malicioso, corre em segundo plano e fica à espera de novas pen USB para repetir o ciclo.

Depois de entrar numa máquina, o componente que rouba carteiras interroga a área de transferência do Windows sensivelmente a cada 500 milissegundos, procurando seed phrases e chaves privadas associadas a carteiras de Bitcoin e Ethereum. Quando deteta que está a ser preparada uma transferência, o malware substitui silenciosamente o endereço de destino por um controlado pelo atacante, pelo que uma operação rotineira de copiar-colar pode encaminhar fundos para a carteira errada sem qualquer pista visível. Os dados capturados na área de transferência são exfiltrados através da rede Tor, acompanhados por cinco capturas de ecrã tiradas com dez segundos de intervalo, para dissimular a localização do operador.

O mecanismo de propagação é o que dá durabilidade à campanha. Quando se liga uma pen USB limpa a um PC já infetado, o worm procura documentos comuns — ficheiros Word, folhas Excel e PDFs — e substitui cada um por um atalho com o mesmo nome que executa novamente a cadeia de infeção. Os documentos originais são empurrados para fora da vista e o ciclo repete-se sempre que essa pen chega a outra máquina.

Por que razão é relevante

O CryptoBandits é uma ameaça híbrida: é um stealer, um sequestrador da área de transferência e um worm auto-propagável num único pacote. A maior parte do malware que rouba carteiras chega através de páginas de phishing ou de extensões de browser maliciosas, onde um utilizador atento pode muitas vezes perceber a armadilha. Um worm transportado por USB contorna totalmente essa porta de entrada e transforma o suporte físico no veículo de entrega — e foi precisamente isto que a Microsoft sinalizou como comportamento invulgar.

A substituição do endereço em tempo real é a metade mais perigosa do design. Os sequestradores de clipboard tradicionais registam seed phrases e chaves privadas e ficam à espera de uma transação do utilizador para a intercetarem numa corrida. O CryptoBandits, em vez disso, reescreve o destino em tempo real, o que significa que um utilizador que verifica o endereço depois de colar continua a ver a string do atacante, e não a que copiou originalmente.

Tokens relacionados
$BTC $ETH
#CryptoBandits#CryptoClipper#Windows#PrivateKeys

Perguntas frequentes

  1. O que é o Trojan:Win32/CryptoBandits e o que faz?

    É um worm de clipping de cripto batizado pela Microsoft que se propaga através de pen USB infetadas, monitoriza a área de transferência do Windows à procura de seed phrases e chaves privadas de carteiras, e substitui silenciosamente os endereços de destino durante transferências de cripto.

  2. Como é que o malware rouba cripto de uma carteira?

    Uma vez instalado, interroga a área de transferência sensivelmente a cada 500 milissegundos em busca de seed phrases e chaves privadas associadas a carteiras de Bitcoin e Ethereum, exfiltra os dados via Tor e reescreve um endereço de destino copiado com um controlado pelo atacante antes de o utilizador colar.

  3. Como é que o worm se propaga de uma máquina para outra?

    Propaga-se via pen USB: quando uma pen limpa é ligada a um PC infetado, o worm substitui documentos comuns — Word, Excel, PDFs — por atalhos .lnk com o mesmo nome que executam novamente a cadeia de infeção. Os originais são escondidos e o ciclo repete-se sempre que essa pen chega a outra máquina.

  4. Desde quando é que o CryptoBandits está ativo?

    A Microsoft afirmou que o malware tem-se propagado através de pen USB infetadas para atacar carteiras de cripto de utilizadores Windows desde fevereiro.

  5. Como podem utilizadores e equipas de segurança defenderem-se do CryptoBandits?

    A Microsoft recomenda desativar o AutoRun para suporte amovível, bloquear a execução de ficheiros .lnk em pen USB via Group Policy, restringir hosts de script como wscript.exe e cscript.exe, monitorizar a telemetria do Defender para ligações locais a um proxy Tor na porta 9050 e auditar redes contra a lista publicada…

Atribuição da fonte
Agregado de CoinDesk · Verificado · Última atualização há 2h
Abrir original →

Mais de Segurança

Histórias que os nossos editores acham que combinam bem com esta.

Mais antigo em Segurança

Atualize-se sobre a cobertura anterior deste tema.