A Microsoft identificou uma campanha de malware que se espalha por dispositivos USB e mira carteiras cripto no Windows. O CryptoBandits monitora a área de transferência, rouba seeds e chaves privadas e pode trocar endereços de destino antes de uma transação.
A Microsoft alertou para uma campanha de malware que mira usuários de criptomoedas no Windows por meio de dispositivos USB infectados. Segundo a equipe de inteligência de ameaças da empresa, o código malicioso está ativo desde fevereiro de 2026 e foi identificado pelo Microsoft Defender como Trojan:Win32/CryptoBandits.A.
O ponto mais sensível para o usuário comum é simples: o malware atua como um crypto clipper, uma categoria de ameaça que observa o que é copiado para a área de transferência. Se a vítima copia uma seed phrase, uma chave privada ou um endereço de carteira, o programa pode capturar a informação ou substituir o endereço original por outro controlado pelo atacante.
Como o ataque se espalha
De acordo com o relatório da Microsoft, a infecção começa com arquivos de atalho maliciosos, do tipo .lnk, presentes em dispositivos USB. Quando o usuário clica no atalho, o malware instala dois componentes: um responsável por roubar dados de carteiras e outro com comportamento de worm, usado para contaminar novos dispositivos removíveis conectados ao computador.
A campanha chama atenção porque não depende apenas de um instalador tradicional. A Microsoft afirma que o malware usa Windows Script Host e ActiveX, cria tarefas agendadas para persistência e aciona um cliente Tor portátil para se comunicar com servidores de comando e controle em domínios .onion.
Na prática, isso dificulta a identificação por usuários menos técnicos e aumenta o risco em ambientes onde pen drives circulam entre máquinas diferentes, como escritórios, assistências técnicas, lan houses, eventos e computadores compartilhados.
O que o CryptoBandits rouba
O componente de roubo monitora a área de transferência em alta frequência, aproximadamente a cada 500 milissegundos, procurando padrões ligados a carteiras cripto. A Microsoft cita seeds BIP39 de 12 ou 24 palavras, chaves privadas e endereços usados em transferências.
Quando encontra uma informação sensível, o malware pode enviá-la ao atacante pela rede Tor. A análise também aponta coleta de capturas de tela e capacidade de executar comandos remotos, transformando o ataque em algo maior do que uma simples troca de endereço no copiar e colar.
Esse tipo de ameaça reforça um ponto que já apareceu em outras frentes de segurança do setor. Como o CriptoBR mostrou na matéria sobre padrões para reduzir assinaturas cegas no Ethereum, parte relevante do risco hoje está na interface entre usuário, carteira e confirmação de transações, não apenas no contrato inteligente.
Por que isso importa para holders
Para quem usa autocustódia, o impacto potencial é direto: se a seed phrase ou a chave privada vaza, a carteira pode ser esvaziada sem recuperação. Mesmo quando a seed não é exposta, a substituição silenciosa de endereço pode fazer uma transferência legítima ir para o atacante.
O risco é especialmente alto em computadores Windows usados para movimentar fundos, instalar carteiras, acessar exchanges ou assinar transações. O alerta também vale para usuários que ainda mantêm seeds em arquivos digitais, prints, anotações copiadas no computador ou documentos transportados em USB.
A campanha se soma a um cenário em que ataques contra usuários e operadores cripto vêm ficando mais sofisticados. Em maio, o CriptoBR destacou como a IA elevou o alerta para hacks bilionários em DeFi; em outra frente, grupos como o Lazarus já exploraram engenharia social, como no caso do falso Zoom usado contra executivos cripto.
Como reduzir o risco
A Microsoft recomenda desativar AutoRun ou AutoPlay para mídias removíveis, bloquear a execução de arquivos .lnk a partir de USB por política de grupo e restringir hosts de script como wscript.exe e cscript.exe. Para empresas, o relatório também traz indicadores de comprometimento e consultas de caça a ameaças para detectar uso suspeito de Tor local na porta 9050.
Para usuários individuais, a regra prática é mais direta: não abrir atalhos em pen drives desconhecidos, não armazenar seed phrase em arquivo digital, conferir endereço de destino no dispositivo de assinatura e preferir hardware wallets com tela própria para validar transações. Em valores relevantes, multisig e máquinas dedicadas reduzem a chance de um único computador comprometido virar perda total.
O alerta não significa que toda carteira no Windows esteja comprometida, mas mostra que ataques simples de mídia removível continuam eficientes quando combinados com roubo de clipboard e foco em cripto. Em autocustódia, a etapa mais frágil muitas vezes não é a blockchain: é o computador usado para interagir com ela.
Mauro Andrade cobre cripto internacional, geopolítica digital e mercado global no CriptoBR. Acompanha movimentos regulatórios nos EUA, Europa e Ásia, adoção institucional por grandes players (BlackRock, Fidelity, JPMorgan) e o impacto geopolítico das criptomoedas no cenário financeiro mundial.
