A Microsoft revelou detalhes de uma campanha de clipper de criptomoedas para Windows que tem como alvo usuários desde fevereiro de 2026.
"O clipper desta campanha depende do Windows Script Host e de lógica baseada em ActiveX para iniciar um proxy Tor empacotado e consultar um servidor C2 (comando e controle) de serviço oculto", afirmou a Microsoft Defender Security Research Team (Equipe de Pesquisa de Segurança do Microsoft Defender) em uma análise publicada na terça-feira. "Ele realiza roubo de área de transferência em alta frequência, exfiltração de capturas de tela e substituição de endereços de carteiras."
"A execução deste clipper é notável porque não depende de um instalador tradicional nem de uma infraestrutura de C2 com IP exposto. Em vez disso, ele implanta um cliente Tor portátil, roteia o tráfego por meio de um proxy local SOCKS5 e combina o roubo de dados com execução remota de código, transformando um stealer (ladrão de informações) com motivação financeira em um backdoor (porta dos fundos) leve."
Malware do tipo clipper refere-se a um software malicioso que monitora silenciosamente a área de transferência do usuário e intercepta dados sensíveis colados no buffer de curto prazo. Ele tem como alvo principal transações de criptomoedas, substituindo cadeias de endereços de carteiras que correspondem a padrões conhecidos de blockchain para redirecioná-las a endereços sob o controle dos atacantes.
Os ataques envolvem a distribuição de um arquivo malicioso de atalho do Windows (LNK) por dispositivos de armazenamento USB. Ao abri-lo, é acionado um componente worm que verifica se a máquina já está infectada e só busca o payload (código malicioso) em um servidor remoto caso ele não esteja presente. Um segundo módulo implantado é o clipper, que coleta e exfiltra informações de carteiras de criptomoedas.
O payload em LNK escaneia o dispositivo USB em busca de tipos comuns de documentos, como DOC, XLSX e PDF. Se encontrados, ele os oculta e cria novos arquivos LNK com os mesmos nomes, contendo argumentos que apontam para o componente worm. Assim, quando um usuário desavisado abre o atalho achando que se trata de um documento inofensivo, é disparada a execução do malware.
O componente worm, além de garantir a propagação para outras unidades USB não comprometidas, implanta tarefas agendadas como forma de persistência, tanto para o próprio worm quanto para o stealer. Já o clipper utiliza WScript e ActiveXObject para interagir com o sistema operacional e encerra sua execução caso o Gerenciador de Tarefas esteja entre os processos em andamento, visando evadir a detecção.
Na fase final, o malware inicia um binário do Tor renomeado em uma janela oculta, gera um identificador único da vítima e o registra no servidor externo. Concluída essa etapa, o malware entra em um loop contínuo, consultando periodicamente o servidor C2 em busca de instruções enquanto monitora, simultaneamente, a área de transferência a cada aproximadamente 500 milissegundos para extrair seed phrases (frases de recuperação) e chaves privadas.
"Ele também sequestra endereços de criptomoedas, substituindo valores de carteiras copiados por alternativas controladas pelos atacantes, e envia capturas de tela por meio do Tor", afirmou a Microsoft. "Se o C2 retornar uma resposta EVAL, o malware executa código fornecido pelo atacante em tempo de execução."
A gigante de tecnologia recomendou que os defensores priorizem detecções comportamentais em vez de assinaturas estáticas, observando especificamente a captura de tela baseada em PowerShell e o uso de WScript, CScript ou mecanismos de script relacionados para iniciar curl, cmd.exe, PowerShell ou executáveis inesperados.
Outras medidas de mitigação incluem desativar AutoRun/AutoPlay para todas as mídias removíveis, bloquear a execução de LNK a partir de unidades removíveis por meio de Objetos de Política de Grupo (GPOs), restringir o uso desnecessário de wscript.exe ou cscript.exe, além de revisar comportamentos relacionados à área de transferência e à captura de tela em dispositivos que lidam com fluxos financeiros sensíveis.
