Microsoft descobre worm leve que rouba criptomoedas

Crypto Clipper não é só mais um clipboard hijacker: é um worm autônomo que se instala, se espalha e opera inteiramente offline até o momento da exfiltração. Ele usa um cliente Tor embutido, sem depender de binários externos ou conexões diretas com servidores C2, e roteia tudo via proxy SOCKS5 local (localhost:9050), o que dificulta detecção por regras baseadas em domínios ou IPs maliciosos. A substituição em tempo real de endereços de carteira na área de transferência é acionada por padrões regulares de 12 ou 24 palavras, mas o diferencial está no ciclo de captura: cinco telas em 10 segundos, com foco em janelas ativas de wallets (como Exodus, Electrum ou MetaMask), não apenas em processos genéricos.

O comportamento de propagação via .lnk em USB também é refinado: o malware renomeia arquivos infectados com nomes similares aos legítimos do dispositivo, reduzindo a chance de detecção visual. Isso mostra uma evolução operacional clara em relação às campanhas anteriores de ClickFix, que ainda dependiam de interação humana (CAPTCHA falso + PowerShell) e não tinham capacidade de auto-replicação física.

Em abril, a CEVIU já havia reportado o ClickFix como plataforma MaaS com infostealers em Node.js via Tor, mas eram cargas entregues por engenharia social online. Crypto Clipper elimina essa etapa: não precisa de navegação, CAPTCHA nem comando manual. É o primeiro caso observado pela Microsoft que combina propagação offline (USB + .lnk), execução em memória sem escrita em disco e exfiltração anônima nativa, tudo em um único artefato leve. Também é a primeira ameaça dessa família a integrar captura de tela *contextual* (não aleatória) com substituição de endereços, transformando o clipper em uma ferramenta de roubo ativo, não passivo.

Empresas com políticas rígidas de bloqueio de downloads ou navegação não estão imunes: Crypto Clipper entra por USB, um vetor frequentemente negligenciado em controles de endpoint. O uso de localhost:9050 como proxy também burla muitas soluções de DLP que monitoram tráfego para IPs externos, mas ignoram comunicação local. Para equipes de segurança, isso significa rever regras de detecção, não basta procurar por curl ou wget para C2; agora é preciso correlacionar execução de interpretadores de script (PowerShell, wscript), chamadas a screen-capture APIs e tentativas de conexão ao proxy Tor padrão, mesmo que local. A ameaça também expõe falhas crônicas em políticas de uso de mídias removíveis em ambientes financeiros e de custódia de criptoativos.