Malware via USB rouba carteiras cripto desde fevereiro
Microsoft identificou um malware que infecta PCs via pendrive, captura seed phrases e troca endereços de carteiras cripto no momento da transferência.
Existe um tipo de ameaça digital que parece anacrônica em tempos de computação em nuvem: o pendrive infectado. Mas é exatamente esse vetor que tem causado estragos reais desde fevereiro deste ano, segundo um alerta publicado pela Microsoft. A empresa identificou um malware classificado como “crypto clipper”, detectado pelo Defender Antivirus sob o nome Trojan:Win32/CryptoBandits, que se propaga por dispositivos USB e tem como alvo direto carteiras de criptomoedas.
O detalhe mais preocupante não é apenas o roubo em si, mas a sofisticação do ciclo de infecção. O código combina técnicas de worm, que se replicam automaticamente, com interceptação da área de transferência do Windows. Quem opera com Bitcoin ou Ethereum precisa entender exatamente como essa ameaça funciona para não se tornar a próxima vítima.
Como o malware se instala e rouba seed phrases
O processo começa quando o usuário conecta um pendrive infectado ao computador. Dentro do dispositivo há um arquivo de atalho malicioso com extensão “.lnk”, que se disfarça de documento legítimo. Ao clicar no atalho, o sistema executa a instalação de um worm no PC sem qualquer aviso visível para o usuário comum.
Uma vez instalado, o malware opera em duas frentes simultâneas. A primeira monitora a área de transferência do Windows, o famoso “Ctrl+C / Ctrl+V”, a cada 500 milissegundos. Isso significa que, no intervalo de meio segundo, o código verifica se o usuário copiou algo que se pareça com uma seed phrase, uma chave privada de carteira Bitcoin ou Ethereum, ou qualquer sequência sensível.
Quando identifica dados relevantes, o malware envia as informações para um servidor controlado pelo atacante por meio da rede Tor, que oferece anonimato na comunicação. Além da seed phrase ou chave privada capturada, o código também registra cinco capturas de tela consecutivas, com intervalo de dez segundos entre cada uma, oferecendo ao invasor um retrato completo do que a vítima estava fazendo naquele momento.
Como já abordamos em nossa cobertura de cibersegurança, esse tipo de ataque explora um comportamento rotineiro: copiar e colar endereços. É exatamente essa confiança automática que os criminosos manipulam.
Troca silenciosa de endereço na hora da transferência
A segunda camada do ataque é ainda mais traiçoeira. Quando o usuário copia um endereço de carteira para enviar fundos, o malware substitui silenciosamente esse endereço por outro controlado pelo atacante. A troca acontece entre o momento do “copiar” e o momento do “colar”. Na prática, a vítima acredita estar enviando criptomoedas para o destinatário correto, mas o valor vai direto para o criminoso.
Esse tipo de interceptação não é novidade no universo de ameaças digitais, mas a combinação com propagação via USB e exfiltração pela rede Tor torna o CryptoBandits mais difícil de rastrear. A cadeia de custódia dos fundos roubados se dilui em camadas de anonimato.
Para quem opera valores significativos em cripto, a lição é clara: nunca confie cegamente no endereço colado. Verificar os primeiros e últimos caracteres do endereço antes de confirmar qualquer transação é uma prática básica de segurança que já discutimos diversas vezes e que se torna cada vez mais urgente.
O ciclo de propagação por pendrives limpos
O que transforma essa ameaça em algo especialmente persistente é seu mecanismo de replicação. O worm não se limita a infectar o computador. Ele aguarda que um novo pendrive limpo seja conectado à máquina comprometida.
Quando isso acontece, o malware escaneia o conteúdo do USB em busca de arquivos comuns: documentos Word, planilhas Excel, PDFs. Esses arquivos são substituídos por atalhos maliciosos com os mesmos nomes. O usuário vê os mesmos títulos de arquivos que esperava encontrar, mas ao clicar em qualquer um deles em outro computador, o ciclo de infecção recomeça.
É um modelo de distribuição que se aproveita de ambientes corporativos e educacionais, onde pendrives ainda circulam com frequência entre máquinas compartilhadas. Um único dispositivo infectado pode comprometer dezenas de computadores em questão de dias.
O que fazer para se proteger do CryptoBandits
A Microsoft publicou uma série de recomendações técnicas para mitigar o risco. A mais direta é desabilitar o AutoRun para mídias removíveis, impedindo que qualquer código seja executado automaticamente ao conectar um pendrive. Em ambientes corporativos, a empresa sugere bloquear a execução de arquivos .lnk em drives USB por meio de políticas de grupo (Group Policy) e restringir hosts de script como wscript.exe e cscript.exe.
Para usuários do Microsoft Defender, a empresa disponibilizou queries de busca que permitem verificar atividades suspeitas na rede, incluindo conexões a proxies Tor locais na porta 9050. Também foi publicada uma lista de indicadores de comprometimento (IoC), com hashes de arquivos e domínios .onion usados como servidores de comando e controle.
Para quem opera com criptomoedas, medidas adicionais são essenciais. Utilizar carteiras hardware (cold wallets), que exigem confirmação física antes de assinar transações, adiciona uma camada de proteção que nenhum malware de clipboard consegue contornar. Verificar manualmente os endereços no display do dispositivo físico elimina o risco da troca silenciosa.
Como detalhamos em nossa análise sobre segurança de ativos digitais, a autocustódia traz liberdade, mas exige disciplina operacional proporcional ao valor protegido.
Por que ataques via USB ainda funcionam em 2025
Pode parecer contraintuitivo que um vetor de ataque tão antigo quanto o pendrive infectado ainda cause danos relevantes. Mas os dados mostram o contrário. Ambientes com infraestrutura de TI mais frágil, redes corporativas com políticas de segurança frouxas e usuários que transitam entre máquinas pessoais e profissionais criam superfícies de ataque enormes.
O CryptoBandits não precisa de phishing sofisticado, não depende de engenharia social por e-mail e não exige que a vítima baixe nada da internet. Basta um clique em um atalho aparentemente inofensivo dentro de um pendrive que alguém emprestou. É a simplicidade do vetor que o torna perigoso.
Para o ecossistema cripto, que movimentou trilhões de dólares em volume combinado nas exchanges apenas em maio deste ano, cada novo vetor de ataque representa uma erosão na confiança de novos usuários. A segurança da autocustódia depende, antes de tudo, da segurança do dispositivo onde ela acontece.
