Os pendrives deixaram de ser o principal meio de armazenamento de arquivos há muito tempo – a nuvem e os smartphones simplesmente os substituíram. No entanto, eles ainda podem causar problemas. A Microsoft descreveu uma campanha de malware que se espalha via USB, disfarçando-se de arquivos comuns, e busca dados relacionados a criptomoedas: frases-semente, chaves privadas, endereços de carteiras. Você conecta o pendrive e ele silenciosamente procura por qualquer coisa que possa ser roubada.
Como funciona? Em um pen drive, o usuário vê arquivos que parecem familiares: um documento, uma planilha, um PDF. Na realidade, os originais estão ocultos, substituídos por atalhos .lnk com os mesmos nomes. Assim, o usuário clica em algo que parece um arquivo normal, mas o sistema desencadeia uma cadeia de infecções preparada pelos atacantes.
É um truque antigo, dos tempos em que um pen drive infectado podia se espalhar por um escritório inteiro rapidamente. A diferença está no alvo. No passado, esses worms costumavam espalhar lixo eletrônico, botnets ou spyware. Agora, eles buscam dinheiro imediatamente, especialmente dinheiro que, uma vez roubado, geralmente não pode ser recuperado com uma simples ligação para o banco.
O malware, apelidado de Crypto Clipper, está ativo desde fevereiro de 2026 e consiste em dois componentes. O primeiro é responsável pela propagação, garantindo que a infecção se espalhe para outros dispositivos USB. O segundo rouba dados relacionados a criptomoedas. Essa combinação faz a diferença porque o ataque não se limita a um único computador. Qualquer dispositivo USB subsequente pode ser transformado em uma isca.
O depósito se transforma em um campo minado.
A parte mais perigosa do ataque não é particularmente óbvia. O malware simplesmente monitora a área de transferência do Windows , o local onde tudo o que copiamos acaba. No mundo das criptomoedas, isso é uma iguaria particularmente valiosa, já que endereços de carteiras, chaves privadas e frases de recuperação frequentemente acabam lá.
O Crypto Clipper verifica a área de transferência aproximadamente a cada meio segundo. Se detectar uma frase mnemônica composta por 12 ou 24 palavras, pode roubá-la. Essa frase mnemônica é uma chave de emergência para uma carteira de criptomoedas. Quem a possuir poderá se apoderar dos fundos. O malware também busca chaves privadas e endereços de carteira.
Talvez o mais insidioso de todos seja a substituição de endereço. O usuário copia o endereço de transferência criptográfica do destinatário , mas o malware cola o endereço do criminoso no lugar. Se a vítima não verificar toda a sequência de caracteres antes de confirmar a transação, o dinheiro vai para onde o atacante pretendia. E não há botão de desfazer.
O Crypto Clipper executa um cliente Tor portátil , disfarçado de ugate.exe, e se comunica com um servidor de comando e controle por meio de um serviço .onion oculto. Isso dificulta a visualização do fluxo real de dados e de quem está controlando a infecção.
O próprio malware também pode capturar telas. O endereço da carteira ou a frase mnemônica são uma coisa, mas o contexto da tela pode mostrar a um invasor com qual carteira o usuário está lidando, quais são os saldos e o que o usuário está tentando fazer. A Microsoft também sugere a possibilidade de execução remota de código, então a infecção pode se tornar algo mais do que apenas um roubo de criptomoedas.
Esta postagem foi modificada pela última vez em 25/06/2026 13:02