Novo malware de sequestro de criptomoedas usa USB como porta de entrada para invasões

Um novo tipo de malware especializado em sequestrar transações de criptomoedas está se disseminando por meio de dispositivos USB, segundo alerta da Microsoft. A empresa de segurança identificou uma variante de “crypto clipper” que não apenas rouba informações de carteiras digitais, mas também instala um backdoor no sistema infectado, permitindo que invasores executem comandos remotamente. O ataque combina técnicas de roubo de dados com capacidade de persistência, transformando um simples roubo financeiro em uma porta aberta para invasões mais graves, como ransomware ou espionagem.

A campanha começou a ser detectada em fevereiro de 2026 e já afetou usuários do Windows em várias regiões. Diferentemente de outros malwares que dependem de links maliciosos ou downloads, essa ameaça se propaga automaticamente por meio de unidades removíveis, como pen drives, aproveitando a confiança que os usuários depositam nesses dispositivos. O vetor de infecção inicial é a execução acidental de atalhos maliciosos que substituem arquivos legítimos, levando à instalação silenciosa de dois payloads em JavaScript, ocultos na pasta Documentos do Windows.

Como o malware se instala e se espalha sem deixar rastros

A infecção começa quando um usuário insere um dispositivo USB infectado em seu computador. O malware substitui arquivos e pastas legítimos por atalhos com nomes semelhantes, como “Relatórios Financeiros.lnk” ou “Documentos Importantes.lnk”. Ao clicar nesses atalhos, o usuário executa, sem saber, um script em JavaScript que inicia o processo de infecção. Esse script é responsável por instalar dois componentes principais: um ladrão de informações (stealer) e um verme (worm) que se propaga para outros dispositivos USB conectados.

O componente worm é especialmente preocupante porque não requer interação do usuário para se espalhar. Assim que o computador é infectado, o malware copia a si mesmo para todas as unidades USB conectadas, garantindo que a infecção se propague rapidamente em ambientes compartilhados, como escritórios ou laboratórios. Os scripts são ofuscados para dificultar a detecção por ferramentas antivírus tradicionais, que muitas vezes não conseguem identificar ameaças em arquivos legítimos como os da pasta Documentos.

Roubo de credenciais de carteiras e execução de código remoto

Uma vez instalado, o malware começa a monitorar a área de transferência do sistema em busca de informações sensíveis relacionadas a criptomoedas. Ele captura endereços de carteiras Bitcoin e Ethereum, bem como frases de semente BIP39, que são usadas para restaurar carteiras. Quando o usuário copia um endereço de carteira para colar em uma transação, o malware substitui automaticamente o endereço legítimo pelo de um invasor, redirecionando os fundos para contas controladas pelos atacantes.

Além do roubo imediato, o malware instala uma versão renomeada do Tor, chamada “ugate.exe”, que se passa por um componente do sistema. Essa ferramenta permite que o malware se comunique com servidores de comando e controle hospedados em endereços ocultos na rede Tor, dificultando o rastreamento pelos provedores de internet ou autoridades. Por meio desses canais, os invasores podem enviar comandos para executar código arbitrário no computador infectado, transformando a máquina em um zumbi controlável remotamente.

Por que esse ataque é mais perigoso do que um clipper comum

A maioria dos malwares do tipo clipper se limita a substituir endereços de carteiras na área de transferência, resultando em perdas financeiras pontuais. No entanto, essa nova variante vai além: ela combina as capacidades de um ladrão de informações com as de um backdoor, permitindo que os atacantes mantenham acesso persistente ao sistema. Isso significa que, após o roubo inicial, os invasores podem instalar ransomware, roubar dados adicionais ou até mesmo usar a máquina como parte de uma botnet.

A capacidade de executar código remoto é especialmente preocupante porque permite que os atacantes realizem ações como baixar e instalar novos malwares, capturar telas do usuário ou até mesmo desabilitar proteções de segurança. Além disso, o uso da rede Tor para comunicação torna difícil para as equipes de segurança bloquear o acesso dos invasores, já que os endereços dos servidores de comando e controle mudam constantemente e são acessíveis apenas por meio da rede anônima.

Dispositivos USB: o elo fraco na segurança digital

Apesar de sua onipresença no dia a dia, os dispositivos USB representam um vetor de infecção subestimado. Muitos usuários ainda confiam cegamente em pen drives compartilhados em escritórios, universidades ou eventos, sem considerar que eles podem estar infectados. O malware em questão explora justamente essa confiança, usando atalhos maliciosos para enganar os usuários e iniciar o processo de infecção.

Em ambientes corporativos, a disseminação por USB pode ser ainda mais devastadora, pois permite que a infecção se espalhe rapidamente entre vários computadores conectados à mesma rede. Empresas que permitem o uso de dispositivos removíveis sem políticas de segurança rígidas estão especialmente vulneráveis. A Microsoft recomenda que organizações implementem controles como desabilitar a execução automática de mídias removíveis e restringir o acesso a pastas como Documentos para usuários padrão.

O que os usuários podem fazer para se proteger

Para usuários domésticos e profissionais, a prevenção começa com a conscientização sobre os riscos associados a dispositivos USB desconhecidos. Nunca se deve inserir um pen drive encontrado em locais públicos ou recebido de terceiros sem antes escaneá-lo com um antivírus atualizado. Além disso, é fundamental verificar sempre os arquivos e atalhos em dispositivos removíveis antes de abri-los, especialmente aqueles com extensões duplas ou nomes suspeitos.

Outra medida importante é o uso de carteiras de hardware (hardware wallets) para armazenar criptomoedas. Esses dispositivos mantêm as chaves privadas offline, tornando-as inacessíveis ao malware que rouba informações da área de transferência. Também é recomendável desativar a execução automática de mídias removíveis nas configurações do Windows, reduzindo o risco de infecção acidental. Ferramentas como o Windows Defender, atualizado regularmente, podem detectar e bloquear muitos malwares, mas não são infalíveis contra ameaças sofisticadas como essa.

O papel das empresas de segurança e fabricantes de software

A descoberta desse malware destaca a necessidade de os fabricantes de software implementarem defesas mais robustas contra ameaças que se propagam por dispositivos removíveis. A Microsoft já incluiu assinaturas para detectar essa variante específica em suas ferramentas de segurança, mas a batalha contra malwares avançados é contínua. Empresas de cibersegurança precisam investir em tecnologias de detecção comportamental, que analisam o comportamento dos processos em tempo real, em vez de depender apenas de assinaturas de vírus.

Além disso, os provedores de antivírus devem atualizar constantemente suas bases de dados para identificar novas variantes de malwares, especialmente aqueles que usam técnicas de ofuscação para evitar a detecção. A colaboração entre empresas de tecnologia, governos e organizações de segurança é essencial para combater campanhas que se espalham globalmente e evoluem rapidamente. A transparência na divulgação de ameaças, como fez a Microsoft, também ajuda a comunidade de segurança a se preparar melhor contra novos ataques.

O que esperar no futuro e como se preparar

Especialistas em segurança cibernética alertam que ataques combinando roubo de criptomoedas com backdoors devem se tornar mais comuns nos próximos anos. À medida que o valor das criptomoedas continua a atrair cibercriminosos, as técnicas de ataque também se tornam mais sofisticadas. A integração de componentes como worms auto-replicantes e comunicação via Tor representa um salto qualitativo na sofisticação desses malwares.

Para se manter seguro, é fundamental que usuários e empresas adotem uma abordagem proativa. Isso inclui manter todos os sistemas operacionais e softwares atualizados, usar soluções de segurança multi-camadas e educar funcionários e familiares sobre os riscos de dispositivos desconhecidos. Empresas também devem considerar a implementação de políticas de “zero trust”, onde nenhum dispositivo ou usuário é automaticamente confiável, independentemente de sua origem.

A descoberta desse malware serve como um lembrete de que, em um mundo cada vez mais digital, a segurança não pode ser negligenciada. A combinação de técnicas avançadas e vetores de infecção aparentemente inocentes, como dispositivos USB, exige uma vigilância constante e a adoção de boas práticas de segurança. Somente assim será possível mitigar os riscos e proteger tanto os ativos financeiros quanto a integridade dos sistemas.