Ameaça de malware rouba criptomoedas usando rede Tor
Atacantes estão direcionando suas ações a carteiras de criptomoedas, utilizando um malware que rouba dados do clipboard e possui capacidades de auto-propagação. A campanha, que está ativa desde fevereiro, utiliza arquivos LNK em drives USB para disseminar o malware, que monitora o conteúdo do clipboard e substitui endereços de carteiras de criptomoedas por aqueles controlados pelos atacantes. Além disso, o malware é capaz de capturar frases-semente e chaves privadas, enviando essas informações através da rede Tor. O processo de infecção se inicia quando a vítima abre o arquivo LNK, ativando o malware. Este realiza uma varredura local em busca de arquivos de documentos, ocultando os originais e substituindo-os por atalhos maliciosos. O malware também captura capturas de tela a cada dez segundos e estabelece comunicação com um servidor de comando e controle (C2) via um executável Tor. A Microsoft alerta que os indicadores mais fortes de infecção são comportamentais, recomendando monitorar atividades de processos como wscript.exe e conexões com o localhost:9050. Essa ameaça representa um risco significativo para usuários de criptomoedas, especialmente em um cenário onde a segurança digital é cada vez mais crucial.
