CryptoBandits: malware Windows usa Tor para roubar carteiras cripto e abrir backdoor

Resumo: A Microsoft revelou os detalhes do CryptoBandits, uma familia de malware para Windows que combina roubo de credenciais de carteiras de criptomoeda com funcoes de backdoor com execucao remota de codigo. Ativo desde fevereiro de 2026, o codigo malicioso usa um cliente Tor portatil para esconder seu canal de comando e controle, conduz substituicao de enderecos no clipboard a cada 500 ms e se propaga por dispositivos USB. O caso ilustra a evolucao dos clippers em direcao a backdoors completos.

O que aconteceu

Em uma analise tecnica publicada esta semana, a equipe de Threat Intelligence da Microsoft alertou para uma campanha em curso desde fevereiro de 2026 envolvendo um clipper baseado em scripts para Windows que vai muito alem do roubo passivo de enderecos de criptomoeda. Batizado de CryptoBandits, o malware combina exfiltracao de dados com execucao remota de codigo, mantida atraves de uma instancia Tor agrupada com o proprio instalador.

O nome clipper, no jargao da seguranca, descreve familias que monitoram o clipboard da vitima em busca de enderecos de carteiras digitais e os substituem por enderecos do atacante. O CryptoBandits eleva essa receita classica ao patamar de uma plataforma maliciosa modular, com tarefas distribuidas via servidor C2 oculto na rede Tor.

Detalhes tecnicos

Segundo a Microsoft, o CryptoBandits e distribuido por meio de atalhos maliciosos (.lnk) e, uma vez executado, instala dois componentes principais: um worm responsavel pela propagacao em pendrives e unidades conectadas e um clipper/stealer dedicado ao roubo de credenciais e endereco de carteiras. A propagacao via USB envolve a criacao de atalhos para arquivos legitimos, levando o usuario a executar a carga maliciosa sem perceber. O loader tambem entrega payloads adicionais que ficam excluidos das varreduras do Microsoft Defender atraves de exclusao dinamica.

A logica de execucao e construida sobre Windows Script Host e objetos ActiveX, com persistencia via tarefas agendadas. A cada inicializacao, o malware lanca um binario Tor renomeado, comunica-se com um servico oculto e registra a vitima no painel do operador. Em sequencia, entra em loop continuo, consultando o C2 por novas instrucoes a cada 500 milissegundos.

Esta familia de malware mostra como stealers leves baseados em scripts podem entregar impacto desproporcional quando combinados com comunicacao anonimizada e tarefas em tempo real.

Microsoft Threat Intelligence

O modulo de roubo extrai seed phrases e chaves privadas associadas a carteiras de criptomoeda. Em paralelo, monitora continuamente o clipboard e substitui enderecos copiados pelo usuario por enderecos controlados pelo atacante, hijacking de transacoes do tipo classico. A obfuscacao e multicamadas: tanto o script Python que conduz a instalacao quanto os payloads JavaScript sao protegidos, com decodificacao apenas em tempo de execucao.

O componente Tor agrupado e o coracao da operacao. Ele roteia toda a comunicacao por localhost:9050 com um proxy SOCKS5 local e resolve dominios destino dentro do proprio circuito, reduzindo a visibilidade em DNS corporativos e dificultando o bloqueio do C2 por listas tradicionais de IPs maliciosos.

Quem corre risco

• Usuarios que manipulam carteiras de criptomoeda em estacoes Windows compartilhadas ou domesticas.
• Profissionais que recebem arquivos por pendrives, em ambientes industriais, escolas e laboratorios.
• Organizacoes que nao monitoram trafego de saida para servicos ocultos Tor.
• Empresas com regras de excecao do Defender mal documentadas, permitindo abuso por exclusoes dinamicas.
• Operadores de exchanges, mesas OTC e tesourarias cripto, alvos de alto valor para substituicao de enderecos.

Analise

O CryptoBandits e mais um capitulo na convergencia entre stealers, clippers e backdoors completos. Familias como Lumma, Vidar e RedLine ja tinham acostumado defensores ao formato comoditizado de info-stealer. O que o CryptoBandits adiciona e uma camada de tasking remoto em tempo quase real, junto com canal de comunicacao anonimizado nativo. Isso aproxima a funcionalidade do malware do que se via ate pouco tempo em frameworks de pos-exploracao como Cobalt Strike ou Sliver, mas no formato leve de script.

A escolha de empacotar um cliente Tor portatil tambem reflete um amadurecimento operacional. Em vez de depender de dominios C2 expostos, suscetiveis a takedowns, o operador investe na resistencia da rede onion. Para defensores, isso significa que a deteccao precisa migrar do nivel de rede para o nivel de comportamento: processos suspeitos abrindo SOCKS local em localhost:9050, scripts longa duracao iniciando binarios renomeados em diretorios temporarios, e tarefas agendadas com nomes generos.

Outro ponto a observar e o vetor USB. Em um cenario dominado pelo phishing por e-mail, ataques que apostam em pendrives parecem anacronicos, mas continuam eficazes em fronteiras de seguranca como redes air-gapped, laboratorios industriais e ambientes de educacao. O malware se aproveita justamente desse ponto cego.

Recomendacoes praticas

• Restrinja a execucao de Windows Script Host (wscript, cscript) por meio de AppLocker ou WDAC em estacoes corporativas.
• Monitore criacao de tarefas agendadas anomalas e processos filhos de wscript.exe iniciando binarios em %TEMP% ou %APPDATA%.
• Inspecione conexoes a localhost:9050 e processos abrindo SOCKS proxies internos sem justificativa.
• Implemente politicas de USB controlado, bloqueando autorun e exigindo varredura antes da abertura de arquivos.
• Eduque equipes de tesouraria cripto a confirmar enderecos via canal independente antes de transacoes grandes.
• Revise excecoes do Microsoft Defender: mantenha um inventario auditavel, com aprovacao formal.
• Habilite a coleta de eventos do Sysmon, especialmente IDs 1 (process create) e 11 (file create) em diretorios temporarios.

Fonte: SecurityWeek