Malware em USB rouba carteiras cripto desde fevereiro
Microsoft identificou vírus que se propaga por pendrives, monitora área de transferência e desvia fundos de carteiras de Bitcoin e Ethereum sem que o usuário perceba.
Um tipo de malware que se espalha por pendrives USB infecta computadores com Windows e rouba criptomoedas desde fevereiro deste ano. A Microsoft publicou um relatório técnico detalhando a ameaça, classificada pelo antivírus Defender como Trojan:Win32/CryptoBandits. O mecanismo é engenhoso: combina propagação física por dispositivos removíveis com roubo digital de chaves privadas e seed phrases.
Diferente de ataques que dependem de links de phishing ou downloads maliciosos, esse vírus usa um vetor que muitos consideram ultrapassado: o bom e velho pendrive. E é justamente nessa falsa sensação de segurança que mora o perigo.
Como o malware por USB funciona na prática
O processo começa quando um usuário conecta um pendrive infectado ao computador. Dentro do dispositivo, há um arquivo de atalho (.lnk) que, ao ser clicado, instala um worm no sistema operacional. Uma vez dentro da máquina, o malware executa duas funções simultâneas.
A primeira é o roubo propriamente dito. O vírus monitora a área de transferência do Windows, aquela memória temporária usada para copiar e colar, a cada 500 milissegundos. Quando o usuário copia uma seed phrase ou chave privada de uma carteira de Bitcoin ou Ethereum, o malware captura os dados e os envia para um servidor controlado pelo atacante via rede Tor, que garante anonimato. Além disso, tira cinco capturas de tela, com intervalos de dez segundos, e também as envia.
A segunda função é a substituição de endereços. Se o usuário copiar um endereço de carteira para enviar fundos, o worm troca silenciosamente esse endereço por um pertencente ao atacante. A troca acontece antes que o usuário cole o endereço, sem qualquer indicação visual. O resultado: a transferência vai para o criminoso, e a vítima só descobre quando já perdeu os fundos.
Esse tipo de ataque, conhecido como “crypto clipper”, não é novo. Mas a combinação com propagação por USB amplia o alcance de forma considerável, como já abordamos em nossas análises sobre cibersegurança.
A propagação silenciosa por pendrives limpos
O que torna o CryptoBandits particularmente perigoso é sua capacidade de autopropagação. Quando um pendrive limpo é conectado ao computador infectado, o malware escaneia os arquivos existentes no dispositivo: documentos Word, planilhas Excel, PDFs. Em seguida, substitui todos por arquivos de atalho (.lnk) com os mesmos nomes dos originais.
O usuário que empresta ou compartilha esse pendrive não percebe a diferença. Os ícones parecem normais. Os nomes dos arquivos são idênticos. Mas quando alguém clica em qualquer um deles em outro computador, o ciclo recomeça: instalação do worm, monitoramento da área de transferência, roubo de dados, infecção de novos dispositivos.
Esse modelo de propagação lembra ameaças que dominaram o cenário de segurança digital na década passada, como o Stuxnet. A diferença é que agora o alvo não são instalações industriais. São carteiras de criptomoedas de pessoas comuns.
Quem está em risco e qual o impacto potencial
O risco é maior para quem opera com carteiras quentes em computadores Windows e tem o hábito de usar pendrives para transferir arquivos. Ambientes corporativos, coworkings e universidades, onde o compartilhamento de dispositivos USB é rotineiro, são terrenos férteis para esse tipo de ataque.
Não há dados oficiais sobre o volume financeiro desviado até o momento. Mas o fato de o malware estar ativo desde fevereiro sem detecção massiva sugere que os atacantes priorizaram a discrição. Carteiras de autocustódia, tão elogiadas por eliminarem intermediários, tornam-se vulneráveis quando o dispositivo que as acessa está comprometido.
Segundo o relatório da Microsoft, os dados roubados são enviados por meio de proxies locais na rede Tor, usando a porta 9050. A empresa publicou uma lista de indicadores de comprometimento, incluindo hashes de arquivos e domínios .onion usados como servidores de comando e controle, para que equipes de segurança possam verificar suas redes.
Como se proteger do CryptoBandits
A Microsoft recomenda uma série de medidas preventivas. A primeira e mais direta: desabilitar o AutoRun para mídias removíveis. Esse recurso, que executa automaticamente programas ao conectar um dispositivo, é o principal ponto de entrada do malware.
Outras recomendações incluem bloquear a execução de arquivos .lnk em unidades USB por meio de políticas de grupo (Group Policy), restringir hosts de script como wscript.exe e cscript.exe, e manter o Microsoft Defender atualizado. Quem usa o Defender pode rodar consultas de hunting para verificar atividades suspeitas, especialmente conexões à porta 9050.
Para quem lida com criptomoedas, a orientação vai além. Verificar manualmente o endereço de destino antes de confirmar qualquer transação é fundamental. Comparar os primeiros e últimos caracteres do endereço colado com o original pode evitar perdas irreversíveis. O uso de hardware wallets, que assinam transações offline, reduz drasticamente a superfície de ataque. Como discutimos em nossa cobertura sobre segurança financeira digital, a autocustódia exige responsabilidade técnica proporcional.
O que esse ataque revela sobre o cenário de ameaças
O CryptoBandits ilustra uma tendência que se consolida no cenário de cibersegurança: a sofisticação de ataques direcionados a detentores de criptomoedas. Enquanto exchanges investem milhões em infraestrutura de segurança, o elo mais fraco continua sendo o dispositivo do usuário final.
A escolha do USB como vetor é estratégica. Em um mundo obcecado por phishing via e-mail e links maliciosos, dispositivos físicos recebem menos atenção das soluções de segurança. O malware explora exatamente essa brecha de percepção.
O uso da rede Tor para exfiltração de dados e o padrão de captura de tela sequencial indicam um nível de planejamento que vai além de scripts amadores. É um ataque pensado para operar em silêncio, coletar o máximo de informação possível e se espalhar organicamente.
O cenário reforça uma máxima que vale para qualquer pessoa com exposição a ativos digitais: segurança não é um produto, é um comportamento. E começa por desconfiar até do pendrive que você mesmo formatou.
