A Microsoft alerta para um clipper de criptomoedas voltado ao Windows que estabelece um backdoor leve, combinando exfiltração de dados e capacidades de execução remota de código (RCE, na sigla em inglês).
Batizado de CryptoBandits, o malware vem sendo usado em ataques desde fevereiro de 2026, implantando um cliente Tor portátil nos sistemas infectados e roteando o tráfego por meio de um proxy SOCKS5 (protocolo de rede) local.
"O clipper nesta campanha depende do Windows Script Host e de lógica baseada em ActiveX para iniciar um proxy Tor empacotado e consultar um servidor de comando e controle (C&C) oculto. Ele realiza roubo de área de transferência em alta frequência, exfiltração de capturas de tela e substituição de endereços de carteira", explica a Microsoft.
O CryptoBandits é distribuído por meio de cargas maliciosas em atalhos (.lnk). Nos sistemas infectados, ele implanta dois componentes: um worm para propagação e um clipper/stealer para roubar informações de carteiras de criptomoedas.
Para se propagar, o malware examina dispositivos USB conectados e cria atalhos maliciosos adicionais a partir de arquivos legítimos. Ele também pode entregar cargas baseadas em arquivos que exclui da verificação do Defender.
O clipper é um script que interage com o sistema por meio do WScript e do ActiveXObject, e verifica se o Gerenciador de Tarefas está em execução como defesa contra análise. A persistência é obtida por meio de tarefas agendadas.
O CryptoBandits inicia um binário do Tor renomeado para estabelecer a comunicação de comando e controle (C&C) e registrar o dispositivo da vítima, entrando em seguida em um loop contínuo, consultando o C&C a cada 500 milissegundos em busca de instruções.
O malware pode extrair frases-semente e chaves privadas associadas a carteiras de criptomoedas, além de substituir endereços de criptomoedas na área de transferência por endereços fornecidos pelos atacantes para sequestrá-los.
Segundo a Microsoft, o malware utiliza ofuscação em múltiplas camadas, descriptografando todos os componentes em tempo de execução. Tanto o script em Python responsável pela instalação quanto as cargas em JavaScript também são ofuscados.
O componente central da ameaça é o cliente Tor empacotado, que roteia a comunicação por meio de localhost:9050 e resolve os domínios de destino para reduzir a visibilidade de DNS (Sistema de Nomes de Domínio) e ocultar a localização do C&C.
"Esta família de malware mostra como stealers leves baseados em scripts podem causar um impacto desproporcional quando combinados a comunicações anônimas e tarefas em tempo de execução. As organizações devem se concentrar em reforçar os caminhos de execução de scripts, monitorar o abuso de proxies SOCKS locais e usar buscas comportamentais para conectar a atividade de scripts a sinais de rede, área de transferência e processos", observa a Microsoft.
