Microsoft anuncia nova ameaça de cavalo de Troia de criptografia para a área de transferência: pode se propagar de forma oculta e sequestrar endereços de carteiras de ativos digitais

Deep Tide TechFlow notícias, 19 de junho, a equipa de inteligência de ameaças da Microsoft divulgou uma ameaça de cavalo de Troia de encriptação do Windows ativa desde fevereiro de 2026, que combina “propagação tipo verme + sequestro de área de transferência + comunicação anónima via Tor”, visando utilizadores de ativos digitais.

A análise da Microsoft indica que este programa malicioso se propaga através de atalhos falsificados (.lnk) em dispositivos de armazenamento removível, e utiliza WScript e ActiveX para executar lógica de scripts, implantando automaticamente um cliente Tor local para controlo anónimo e transmissão de dados. A cadeia de ataque inclui múltiplas capacidades maliciosas: monitorização contínua do conteúdo da área de transferência, roubo de frases de recuperação e chaves privadas, captura de ecrã e upload, e ao copiar endereços de criptomoedas, realiza “substituição de endereço”, trocando o endereço alvo pelo endereço de uma carteira controlada pelo atacante, permitindo assim o sequestro de fundos.

Além disso, este cavalo de Troia possui capacidade de propagação tipo verme, podendo copiar-se automaticamente em dispositivos como pen drives, criar tarefas agendadas para manter a persistência, e possui capacidades básicas de contra-análise (como detectar o Gestor de Tarefas para evitar depuração).

Na deteção, a Microsoft já o identificou como parte da série Trojan:Win32/CryptoBandits, e realiza bloqueios com base em características comportamentais (como chamadas anómalas ao WScript, tráfego de proxy localhost:9050 e comportamento de captura de ecrã com PowerShell). Os investigadores de segurança recomendam focar na monitorização de caminhos de execução de scripts e tráfego anómalo de proxy local.