Campanha de ataque Crypto Clipper para Windows
Pesquisadores de segurança revelaram detalhes de uma sofisticada operação de coleta de criptomoedas baseada em Windows, ativa desde fevereiro de 2026. A campanha utiliza um malware de monitoramento da área de transferência capaz de se autopropagar e aproveita a rede de anonimato Tor para ocultar sua infraestrutura de comunicação.
Ao contrário das operações de malware convencionais que dependem de instaladores padrão ou servidores de Comando e Controle (C2) expostos publicamente, esta ameaça implanta um cliente Tor portátil e roteia todo o tráfego por meio de um proxy SOCKS5 local. Combinando roubo de criptomoedas, exfiltração de dados e recursos de execução remota de código, o malware funciona não apenas como um clipper, mas também como uma porta dos fundos leve.
Índice
Como funciona o malware Clipper
O malware Clipper foi projetado para monitorar silenciosamente a atividade da área de transferência da vítima e interceptar informações confidenciais copiadas para a memória. Seu principal objetivo é manipular transações de criptomoedas, identificando endereços de carteira associados a formatos de blockchain conhecidos e substituindo-os por alternativas controladas pelo atacante. Como resultado, fundos destinados a destinatários legítimos podem ser redirecionados sem o conhecimento da vítima.
Esta campanha utiliza o Windows Script Host e funcionalidades baseadas em ActiveX para iniciar um proxy Tor embutido e comunicar com um servidor C2 oculto. O malware realiza vigilância contínua da área de transferência, captura screenshots, rouba informações relacionadas a criptomoedas e substitui endereços de carteira em tempo real.
Cadeia de infecção baseada em USB e funcionalidade de worm
O ataque começa com a distribuição de arquivos maliciosos de atalho do Windows (LNK) por meio de dispositivos de armazenamento USB removíveis. Quando a vítima abre um desses atalhos, um componente do worm é ativado. O malware primeiro verifica se o sistema já foi infectado e baixa o restante da carga útil somente se nenhuma infecção anterior for detectada.
O payload LNK busca ativamente em dispositivos USB conectados formatos de documento comuns, incluindo arquivos DOC, XLSX e PDF. Uma vez encontrados, esses arquivos são ocultados e substituídos por atalhos maliciosos com nomes idênticos. Essa técnica enganosa aumenta a probabilidade de os usuários executarem o malware sem saber, ao tentarem abrir o que parece ser um documento legítimo.
Além da invasão inicial, o worm é responsável por espalhar a infecção para outros dispositivos USB não infectados. Ele também estabelece persistência criando tarefas agendadas tanto para o worm quanto para os componentes de roubo de dados.
Evasão Avançada e Execução Persistente de Comandos
O componente "clipper" utiliza WScript e ActiveXObject para interagir diretamente com o sistema operacional. Para reduzir a probabilidade de detecção, o malware verifica os processos ativos e se encerra caso o Gerenciador de Tarefas esteja em execução.
Durante a fase final de execução, um binário Tor renomeado é iniciado em uma janela oculta. O malware então gera um identificador único para a vítima e o registra em sua infraestrutura remota. Após o registro, ele entra em um loop operacional contínuo, consultando o servidor C2 em busca de comandos enquanto monitora o conteúdo da área de transferência aproximadamente a cada 500 milissegundos.
Além de coletar dados de carteiras de criptomoedas, frases-semente e chaves privadas, o malware captura screenshots e as transfere pela rede Tor. Se o servidor C2 responder com um comando EVAL, o código fornecido pelo atacante é executado dinamicamente no sistema comprometido, expandindo significativamente as capacidades da ameaça.
Indicadores-chave e recomendações defensivas
Recomenda-se que as equipes de segurança se concentrem em técnicas de detecção comportamental, em vez de dependerem exclusivamente de assinaturas estáticas de malware. Deve-se dar atenção especial a atividades suspeitas de captura de tela baseadas em PowerShell e ao uso incomum de mecanismos de script do Windows, como WScript ou CScript, para executar utilitários como curl, cmd.exe, PowerShell ou outros executáveis inesperados.
As medidas defensivas recomendadas incluem:
- Desativar as funcionalidades AutoRun e AutoPlay para todas as mídias removíveis, bloquear a execução de arquivos LNK a partir de dispositivos USB por meio de Objetos de Política de Grupo (GPOs) e limitar o uso desnecessário de wscript.exe e cscript.exe.
- Sistemas de monitoramento que lidam com operações financeiras ou relacionadas a criptomoedas, buscando atividades anormais na área de transferência, capturas de tela não autorizadas e comunicações suspeitas na rede Tor.
Por que essa ameaça se destaca
Esta campanha demonstra a crescente sofisticação de malwares com motivação financeira. Ao combinar a propagação de worms via USB, o sequestro da área de transferência, comunicações ofuscadas pelo Tor, exfiltração de capturas de tela e execução remota de código em um único conjunto de ferramentas, os operadores criaram uma ameaça versátil capaz tanto de roubar criptomoedas quanto de manter acesso a longo prazo aos sistemas infectados. O uso de infraestrutura de serviços ocultos complica ainda mais os esforços de detecção e remoção, tornando o monitoramento comportamental proativo uma estratégia de defesa essencial.
