Tor

Ameaça de malware rouba criptomoedas usando rede Tor

Atacantes estão direcionando suas ações a carteiras de criptomoedas, utilizando um malware que rouba dados do clipboard e possui capacidades de auto-propagação. A campanha, que está ativa desde fevereiro, utiliza arquivos LNK em drives USB para disseminar o malware, que monitora o conteúdo do clipboard e substitui endereços de carteiras de criptomoedas por aqueles controlados pelos atacantes. Além disso, o malware é capaz de capturar frases-semente e chaves privadas, enviando essas informações através da rede Tor. O processo de infecção se inicia quando a vítima abre o arquivo LNK, ativando o malware. Este realiza uma varredura local em busca de arquivos de documentos, ocultando os originais e substituindo-os por atalhos maliciosos. O malware também captura capturas de tela a cada dez segundos e estabelece comunicação com um servidor de comando e controle (C2) via um executável Tor. A Microsoft alerta que os indicadores mais fortes de infecção são comportamentais, recomendando monitorar atividades de processos como wscript.exe e conexões com o localhost:9050. Essa ameaça representa um risco significativo para usuários de criptomoedas, especialmente em um cenário onde a segurança digital é cada vez mais crucial.

Campanha de malware clippers ataca usuários do Windows desde fevereiro de 2026

A Microsoft revelou uma campanha de malware clippers que tem afetado usuários do Windows desde fevereiro de 2026. Este tipo de malware é projetado para monitorar e roubar informações sensíveis copiadas para a área de transferência, especialmente endereços de carteiras de criptomoedas. A análise da Microsoft Defender Security Research Team destaca que o clippers utiliza lógica baseada no Windows Script Host e ActiveX para lançar um proxy Tor e se conectar a um servidor de comando e controle (C2) oculto. O malware realiza roubo de clipboard em alta frequência, exfiltra capturas de tela e substitui endereços de carteiras.

Tor substitui criptografia antiga por sistema mais seguro

O Tor Network anunciou a substituição de seu algoritmo de criptografia de relé, o tor1, por um novo sistema chamado Counter Galois Onion (CGO). Essa mudança visa aumentar a privacidade e a segurança dos usuários em todo o mundo, especialmente contra técnicas modernas de interceptação que poderiam comprometer dados sensíveis. O CGO utiliza uma permutação pseudorrandômica robusta, chamada UIV+, que atende a rigorosos requisitos de segurança. Entre as melhorias, destaca-se a resistência a ataques de tagging, a confidencialidade de tráfego passado mesmo se chaves atuais forem expostas, e a eliminação do SHA-1 em favor de um autenticador de 16 bytes. O novo sistema também implementa criptografia de bloco largo e encadeamento de tags, tornando células modificadas e tráfego futuro irrecuperáveis. A transição para o CGO está sendo integrada nas implementações C Tor e no cliente Arti baseado em Rust, e os usuários do Tor Browser não precisam realizar ações manuais para se beneficiar das atualizações, que ocorrerão automaticamente. Embora o sistema ainda esteja em fase experimental, a Tor enfatiza que essas melhorias são essenciais para atender aos padrões de criptografia em evolução.

Novo Malware Explora APIs Docker Expostas para Implantar Cryptominer

Uma nova campanha de malware está atacando APIs Docker mal configuradas expostas à internet, implantando cryptominers e utilizando a rede Tor para ocultar suas atividades. Inicialmente relatada em junho de 2025 pela equipe de Inteligência de Ameaças da Trend Micro, essa variante foi observada em honeypots da Akamai em agosto de 2025, ampliando suas capacidades de infecção. O malware explora portas Docker abertas (2375) para lançar um contêiner Alpine, montar o sistema de arquivos raiz do host e executar scripts maliciosos. A persistência é garantida por meio de modificações nas configurações SSH e criação de tarefas cron para comunicação discreta. A nova variante identificada pela Akamai não apenas implanta um cryptominer, mas também um pacote multifuncional que inclui ferramentas como masscan e libpcap, bloqueando o acesso a outras ameaças. Os indicadores de comprometimento incluem implantações incomuns de contêineres e conexões de saída para domínios .onion. Para mitigar esses riscos, recomenda-se restringir a exposição da API Docker e monitorar acessos não autorizados.