Novo malware usa USBs para roubar criptomoedas e se espalha desde fevereiro
Por Mag-Info Tech editorial · 2026-06-19
Como o malware se espalha e o que ele faz nos computadores Windows
Um novo tipo de malware que infecta computadores Windows por meio de dispositivos USB vem circulando desde fevereiro de 2026, segundo alerta da Microsoft. O vírus, classificado como Trojan:Win32/CryptoBandits, propaga-se ao substituir arquivos legítimos em pen drives limpos por atalhos maliciosos com extensão .lnk. Quando um usuário clica nesses atalhos, o malware é ativado e instala um componente que monitora a área de transferência do sistema em busca de informações sensíveis relacionadas a carteiras de criptomoedas.
O funcionamento do malware depende de dois mecanismos principais: a infecção inicial via USB e a manipulação da área de transferência. Ao ser executado pela primeira vez, o vírus substitui documentos ou pastas reais em dispositivos USB por atalhos com nomes idênticos. Quando esses atalhos são abertos em um computador Windows, o malware é instalado silenciosamente. Uma vez no sistema, o CryptoBandits passa a observar constantemente a área de transferência, à espera de dados como frases de recuperação, chaves privadas ou endereços de carteiras de criptomoedas. Quando detecta uma transferência em andamento, o vírus substitui automaticamente o endereço de destino pelo de uma carteira controlada pelos atacantes, desviando os fundos sem que o usuário perceba.
A disseminação por USB representa um risco particular porque muitos usuários ainda utilizam dispositivos removíveis para transferir arquivos entre máquinas, muitas vezes sem verificar a origem dos dados. O método de substituição de arquivos por atalhos maliciosos é especialmente eficaz em ambientes onde múltiplos dispositivos são compartilhados entre colegas ou em locais públicos, como lan houses ou escritórios de coworking. Além disso, o malware não requer privilégios de administrador para funcionar, o que amplia seu alcance em sistemas pessoais e corporativos.
Mecanismo de roubo: como o malware manipula o clipboard e exfiltra dados
O componente mais sofisticado do CryptoBandits é seu mecanismo de monitoramento da área de transferência, conhecido como "crypto clipper". Quando um usuário copia um endereço de carteira de criptomoedas para realizar uma transferência, o malware detecta esse padrão e substitui o endereço original pelo de uma carteira controlada pelos atacantes. Esse processo ocorre em milissegundos, tornando a troca praticamente imperceptível para o usuário. Além de endereços, o vírus também busca frases de recuperação e chaves privadas, que são enviadas para servidores remotos controlados pelos criminosos.
Os dados exfiltrados são transmitidos por meio da rede Tor, que mascara o endereço IP dos atacantes e dificulta a rastreabilidade das operações. A utilização da rede Tor indica que os responsáveis pelo malware estão utilizando infraestrutura projetada para dificultar a identificação e a interrupção de suas atividades. Além da exfiltração de dados, o CryptoBandits também pode se propagar para outros dispositivos conectados via USB, criando um ciclo de infecção que amplia seu impacto.
Outro aspecto preocupante é a capacidade do malware de operar em segundo plano, sem acionar alertas de segurança comuns. Por não modificar diretamente os arquivos do sistema ou instalar drivers suspeitos, o vírus consegue evitar muitos sistemas de detecção baseados em assinaturas de malware. Essa abordagem torna a identificação do CryptoBandits mais desafiadora para soluções antivírus tradicionais, que muitas vezes dependem de bancos de dados atualizados de ameaças conhecidas.
Impacto potencial para usuários de criptomoedas e empresas
O risco para usuários individuais de criptomoedas é elevado, especialmente aqueles que gerenciam grandes quantias ou utilizam carteiras de software em seus computadores pessoais. Um único clique em um atalho malicioso pode resultar auxílio de fundos de uma carteira, com poucas chances de recuperação devido à natureza irreversível das transações em blockchain. Para investidores e traders, a perda pode ser significativa, considerando que o malware não apenas substitui endereços de destino, mas também coleta chaves privadas, permitindo que os criminosos acessem todas as carteiras associadas a uma mesma frase de recuperação.
No ambiente corporativo, o impacto pode ser ainda maior. Empresas que utilizam sistemas Windows em ambientes compartilhados ou que permitem o uso de dispositivos USB não autorizados estão particularmente vulneráveis. O CryptoBandits pode se espalhar rapidamente entre estações de trabalho, infectando múltiplos dispositivos em uma rede. Além do roubo direto de criptomoedas, o malware também representa um risco de vazamento de dados sensíveis, caso chaves privadas ou informações financeiras sejam exfiltradas. Para organizações, isso pode resultar em perdas financeiras diretas, danos à reputação e potenciais responsabilidades legais, dependendo da jurisdição.
A natureza do ataque também levanta preocupações sobre a segurança de sistemas legados ou máquinas que não recebem atualizações regulares. Muitos ambientes corporativos ainda operam com versões antigas do Windows que não recebem mais suporte oficial, o que aumenta a exposição a vulnerabilidades conhecidas exploradas por esse tipo de malware. Além disso, a dependência de dispositivos USB como vetor de infecção torna a prevenção mais complexa, pois muitas soluções de segurança tradicionais não monitoram adequadamente a atividade em portas USB.
Medidas de prevenção recomendadas pela Microsoft e especialistas
A Microsoft publicou um conjunto de recomendações para mitigar o risco de infecção pelo CryptoBandits. A primeira e mais direta medida é desativar a execução automática de mídias removíveis, um recurso que permite que programas sejam executados automaticamente ao conectar um dispositivo USB. Essa função, embora conveniente, é frequentemente explorada por malware para iniciar a infecção sem interação do usuário. A desativação pode ser feita por meio do Editor de Política de Grupo ou do Registro do Windows, dependendo da versão do sistema operacional.
Outra medida crucial é bloquear a execução de arquivos .lnk em dispositivos USB. Como o malware depende de atalhos maliciosos para se propagar, impedir que esses arquivos sejam executados reduz significativamente o risco de infecção. A Microsoft também recomenda restringir a execução de hosts de script, como wscript.exe e cscript.exe, que podem ser usados pelo malware para executar comandos maliciosos. Essas restrições podem ser aplicadas por meio de políticas de grupo ou soluções de segurança endpoint.
Além das configurações do sistema, especialistas recomendam a implementação de soluções de segurança que monitorem a atividade na área de transferência e bloqueiem tentativas de substituição de endereços de carteiras. Ferramentas de prevenção de perda de dados (DLP) também podem ser úteis para detectar a exfiltração de informações sensíveis, como chaves privadas ou frases de recuperação. Para usuários individuais, a adoção de carteiras de hardware (hardware wallets) é altamente recomendada, pois esses dispositivos armazenam chaves privadas offline, tornando-as inacessíveis ao malware que opera no sistema operacional.
Resultados reais da IA da MEFAI. Ganhe $50 de desconto no plano Pro.
Patrocinado · Desempenho passado não indica resultados futuros. Não é conselho financeiro.
Indicadores de comprometimento e como verificar se um sistema está infectado
A Microsoft publicou uma lista de indicadores de comprometimento (IOCs) associados ao CryptoBandits, que incluem hashes de arquivos maliciosos, endereços de servidores de comando e controle e padrões de tráfego de rede. Embora os IOCs específicos não tenham sido divulgados publicamente, especialistas em segurança cibernética sugerem que usuários e administradores verifiquem sistemas suspeitos em busca de processos desconhecidos, especialmente aqueles que se comunicam com a rede Tor. Ferramentas como o Process Explorer ou o Task Manager podem ajudar a identificar processos suspeitos em execução.
Outro sinal de alerta é a presença de atalhos .lnk em dispositivos USB que não correspondem a arquivos reais. Se um usuário notar que um arquivo supostamente importante não abre ou exibe um erro ao ser clicado, é possível que ele tenha sido substituído por um atalho malicioso. Nesse caso, recomenda-se não abrir o arquivo e digitalizá-lo com uma solução antivírus atualizada antes de qualquer interação. Além disso, a verificação de logs de rede pode revelar tentativas de comunicação com servidores desconhecidos, especialmente aqueles que utilizam protocolos associados à rede Tor.
Para organizações, a implementação de soluções de detecção e resposta a ameaças (EDR) pode ser fundamental para identificar comportamentos suspeitos associados ao CryptoBandits. Essas ferramentas monitoram atividades incomuns no sistema, como tentativas de acesso à área de transferência ou modificações em arquivos de configuração do Windows. A análise de tráfego de rede também pode revelar padrões suspeitos, como conexões frequentes a domínios desconhecidos ou tentativas de exfiltração de dados em horários incomuns.
O papel dos dispositivos USB na segurança cibernética e por que eles continuam sendo um vetor de ataque
Apesar dos avanços em segurança cibernética, os dispositivos USB ainda representam um vetor de ataque significativo, especialmente em ambientes onde a segurança física não é rigorosamente controlada. A simplicidade de uso e a onipresença dos pen drives tornam-nos alvos atraentes para criminosos, que exploram a confiança dos usuários em dispositivos aparentemente inofensivos. Além do CryptoBandits, outros malwares conhecidos, como o Stuxnet e o BadUSB, também utilizaram USBs como meio de propagação, demonstrando que esse vetor de ataque não é novo, mas continua eficaz.
A natureza física dos dispositivos USB também dificulta a implementação de medidas de segurança automatizadas. Ao contrário de ataques baseados em rede, que podem ser bloqueados por firewalls ou sistemas de prevenção de intrusão, os USBs requerem controle manual ou políticas rigorosas de uso. Muitas organizações ainda permitem o uso de dispositivos removíveis sem restrições, o que aumenta a exposição a ameaças como o CryptoBandits. A adoção de políticas de "USB zero trust", onde nenhum dispositivo é considerado confiável até que seja verificado, pode ajudar a reduzir o risco.
Outro fator agravante é a falta de conscientização dos usuários. Muitos ainda acreditam que dispositivos USB são seguros desde que não contenham arquivos executáveis óbvios. No entanto, como demonstrado pelo CryptoBandits, até mesmo atalhos podem ser usados como vetores de infecção. Campanhas de conscientização e treinamentos periódicos sobre segurança cibernética são essenciais para reduzir a eficácia desses ataques, especialmente em ambientes corporativos onde múltiplos usuários interagem com os mesmos dispositivos.
Alternativas para usuários e empresas que buscam proteger suas carteiras de criptomoedas
Para usuários individuais, a transição para carteiras de hardware é uma das medidas mais eficazes para mitigar o risco de roubo por malware. Dispositivos como Ledger ou Trezor armazenam chaves privadas offline, tornando-as inacessíveis a softwares maliciosos que operam no sistema operacional. Além disso, a utilização de carteiras móveis com recursos de segurança avançados, como biometria e autenticação multifator, pode reduzir a exposição a ataques como o CryptoBandits.
No ambiente corporativo, a implementação de políticas de segurança rigorosas é fundamental. Isso inclui a desativação de dispositivos USB não autorizados, a restrição de privilégios de usuário e a adoção de soluções de segurança endpoint que monitorem atividades suspeitas. Ferramentas de gestão de dispositivos móveis (MDM) também podem ser úteis para controlar o uso de dispositivos removíveis em ambientes empresariais. Além disso, a segmentação de redes e a implementação de firewalls avançados podem limitar a capacidade do malware de se propagar entre dispositivos.
Outra estratégia é a utilização de soluções de segurança baseadas em inteligência artificial, que podem detectar comportamentos anômalos em tempo real. Essas ferramentas analisam padrões de uso e identificam atividades suspeitas, como tentativas de acesso à área de transferência ou modificações em arquivos de configuração. Para organizações que lidam com grandes volumes de transações em criptomoedas, a adoção de soluções de segurança especializadas em blockchain pode oferecer uma camada adicional de proteção.
O que esperar nos próximos meses e como se preparar
Dado o histórico de malwares que se propagam por USBs, é provável que novas variantes do CryptoBandits ou de outros vírus semelhantes surjam nos próximos meses. A popularidade das criptomoedas e a crescente sofisticação dos ataques cibernéticos tornam esse cenário ainda mais provável. Especialistas em segurança cibernética recomendam que usuários e empresas mantenham seus sistemas atualizados, implementem políticas de segurança rigorosas e adotem ferramentas de monitoramento avançadas.
Para usuários individuais, a conscientização continua sendo a melhor defesa. Evitar o uso de dispositivos USB não confiáveis, desativar a execução automática de mídias removíveis e utilizar carteiras de hardware são medidas essenciais. Para empresas, a implementação de soluções de segurança endpoint, a segmentação de redes e a adoção de políticas de "zero trust" podem reduzir significativamente o risco de infecção. Além disso, a colaboração com comunidades de segurança cibernética e a participação em programas de recompensa por bugs podem ajudar a identificar e neutralizar novas ameaças antes que causem danos significativos.
Por fim, é importante que tanto usuários quanto organizações estejam preparados para responder a incidentes de segurança. Isso inclui a manutenção de backups regulares de carteiras de criptomoedas, a implementação de planos de resposta a incidentes e a realização de simulações de ataques para testar a eficácia das medidas de segurança. Ao adotar uma abordagem proativa, é possível reduzir o impacto de malwares como o CryptoBandits e proteger os ativos digitais de forma eficaz.
Mais em Cibersegurança & Privacidade
Taiko interrompe pontes após ataque de US$ 1,7 milhão por falha na verificação de estado
Taiko identificou uma falha crítica em seu mecanismo de verificação de estado que permitiu a emissão de provas falsas e saques não autorizados via pontes. Usuários foram orientados a retirar fundos im
Exploração em rede Secret Network: como um bug de “mint infinito” permitiu roubo de US$ 4,7 milhões
Um bug de “mint infinito” em contrato inteligente do Secret Network permitiu a criação de tokens sem lastro, resultando em prejuízo de US$ 4,7 milhões. Entenda como ocorreu e o que isso significa para
Botnet AryStinger infecta milhares de roteadores D-Link em operação global
Botnet recém-descoberta usa mais de 4 mil roteadores D-Link desatualizados para criar uma rede de proxies maliciosos, com foco em varreduras distribuídas e sequestro de tráfego.