Desde fevereiro de 2026, um malware batizado como Crypto Clipper tem se propagado por meio de dispositivos USB, visando diretamente carteiras de criptomoedas. A Microsoft detalhou essa campanha de infecção, que disfarça códigos maliciosos como arquivos comuns e foca na extração de frases-semente, chaves privadas e endereços de carteira.
O ataque conta com dois módulos principais. O primeiro se encarrega de disseminar o vírus para qualquer pendrive conectado ao computador infectado, garantindo que outras unidades também carreguem o malware. O segundo módulo monitora e rouba informações relacionadas a criptoativos sempre que identifica dados sensíveis.
Ao acessar o pendrive, o usuário se depara com documentos que parecem tradicionais – planilhas, PDFs e pastas de texto. Na verdade, esses itens originais estão ocultos e substituídos por atalhos com extensão .lnk. Ao clicar nesses ícones, o sistema executa silenciosamente a cadeia de infecções preparada pelos invasores.
Como funciona o Crypto Clipper
Uma das rotinas mais críticas do Crypto Clipper é o monitoramento da área de transferência do Windows. A cada meio segundo, o malware verifica o conteúdo copiado pelo usuário: caso detecte frases-mnemônicas de 12 ou 24 palavras, chaves privadas ou endereços de carteiras, ele captura esses dados e os envia aos criminosos.
Além da simples captura de texto, o código malicioso substitui automaticamente o endereço criptográfico copiado pelo usuário pelo do invasor. Se a vítima não conferir toda a sequência antes de concluir a transação, os fundos são redirecionados para a carteira dos atacantes, sem possibilidade de reversão.
Outra técnica empregada inclui a execução de um cliente Tor portátil, disfarçado como “ugate.exe”. Esse componente estabelece comunicação com um servidor de comando e controle hospedado em um serviço .onion, tornando mais difícil rastrear a origem e o destino dos dados exfiltrados.
Imagem: Imagem ilustrativa
Para dificultar a análise, o malware encerra sua operação caso identifique ferramentas de diagnóstico, como o Gerenciador de Tarefas, e mantém seus componentes ofuscados até o momento da execução. Além disso, ele pode capturar capturas de tela, revelando saldos e operações em andamento, e até abrir brecha para execução remota de código.
O uso de pendrives como vetor de ataque remete a técnicas antigas de propagação de worms em escritórios, mas agora o alvo é imediato: fundos em criptomoedas que dificilmente são recuperados após o roubo.
O Crypto Clipper reforça a necessidade de cautela ao manusear dispositivos USB não confiáveis e de atenção redobrada à integridade dos endereços e frases de recuperação antes de autorizar qualquer transação.
Com informações de Hardware
