O clipper, também chamado de Clipboard Hijacker ou Crypto Clipper, é uma família de malware que vive em segundo plano, monitorando silenciosamente a área de transferência do sistema. Assim que detecta uma string que combina com o padrão de um endereço cripto — bc1q para Bitcoin, 0x seguido de 40 caracteres hexadecimais para EVM, T seguido de 33 caracteres para Tron — substitui pelo endereço do atacante. A vítima cola, confere as primeiras e últimas posições, manda. Foi roubada sem perceber.
Como entra na máquina
O vetor número um continua sendo software pirateado. Versões crackeadas de Office, Adobe Creative Cloud, IDEs de programação e jogos AAA baixados de sites de torrent ou de fóruns brasileiros chegam com clippers embutidos. O segundo caminho é a carteira falsa: pesquisar "MetaMask" no Google e clicar no anúncio patrocinado em vez do resultado orgânico já levou muita gente a baixar um instalador modificado. Extensões maliciosas de Chrome são o terceiro vetor — qualquer extensão com permissão de leitura da área de transferência pode rodar a mesma rotina, sem precisar do binário desktop. No celular, especialmente em Android com APKs fora da Play Store, o problema se repete.
Por que é mais letal que phishing
Clipper não tem sintoma. Não trava CPU, não derruba a internet, não pede senha. Ele simplesmente espera você fazer uma transferência. A única defesa contra detecção visual é conferir todos os caracteres do endereço colado — não apenas os seis primeiros e os seis últimos, que o atacante já tratou de fazer baterem. Como quase ninguém confere caractere por caractere, a taxa de sucesso desse golpe supera a de páginas de phishing chamativas.
O kit de defesa que funciona
A camada mais eficaz é a lista branca de saque das exchanges. Binance, Coinbase, Mercado Bitcoin e Bitso permitem cadastrar endereços de retirada com janela de espera de 24 a 72 horas. Mesmo que o clipper troque o endereço durante o saque, a transação será rejeitada porque o destino não está autorizado. A segunda camada é o hardware wallet: a tela dele, isolada do sistema operacional, mostra o endereço real antes da assinatura. O malware não consegue alterar o que aparece na telinha física. Terceiro, evite operar com conta administrador no dia a dia — uma conta padrão limita o estrago de qualquer instalador suspeito.