Puntos clave de la noticia:
- Microsoft identificó un malware tipo «crypto clipper» que se propaga por USB infectados y roba claves privadas de wallets.
- El troyano, clasificado como Trojan:Win32/CryptoBandits, monitorea el portapapeles de Windows cada 500 milisegundos para capturar frases semilla y claves privadas.
- Al detectar una transferencia, el worm reemplaza silenciosamente la dirección de destino por una controlada por el atacante sin dejar rastro visible.
Un malware detectado por Microsoft se propaga a través de unidades USB infectadas y tiene como objetivo las wallets de criptomonedas de usuarios con sistema operativo Windows. Según un post publicado por la compañía, el ataque lleva activo desde febrero de 2026 y fue identificado por su herramienta Microsoft Defender Antivirus bajo la clasificación Trojan:Win32/CryptoBandits.
El mecanismo es secuencial y silencioso. El vector de entrada es una unidad USB que contiene un archivo de acceso directo malicioso, con extensión .lnk. Cuando el usuario conecta el dispositivo y hace clic en ese archivo, se instala un worm en el equipo. Desde ese momento, el código opera en dos frentes de forma simultánea: ejecuta continuamente el componente de robo de wallets y permanece a la espera de que se conecte un USB limpio al mismo equipo para replicarse.
Capturas de Pantalla y Reemplazos de Información
El componente de robo monitorea el portapapeles de Windows cada 500 milisegundos, el espacio temporal de memoria utilizado en las operaciones de copiar y pegar. Si el usuario copia una frase semilla o una clave privada de una wallet de Bitcoin o Ethereum, el malware captura esa información y la envía al servidor del atacante a través de la red Tor, que provee comunicación anónima. Además, toma cinco capturas de pantalla separadas por diez segundos y las transmite junto con los datos robados.
El problema no termina ahí. Si el usuario copia la dirección de un destinatario para enviar fondos, el worm la reemplaza de forma silenciosa por una dirección controlada por el atacante antes de que se complete el pegado. La transferencia se redirige sin ningún indicio visible para el usuario.
Microsoft Recomienda Medidas de Seguridad
La propagación ocurre cuando se conecta un USB limpio al equipo comprometido. El worm escanea los archivos del dispositivo, documentos de Word, hojas de Excel y PDFs, los reemplaza por archivos de acceso directo con los mismos nombres e infecta esa nueva unidad para continuar el ciclo.
Microsoft recomendó deshabilitar el AutoRun para medios extraíbles, bloquear la ejecución de archivos .lnk en USB mediante políticas de grupo y restringir hosts de scripts como wscript.exe y cscript.exe. La compañía también publicó una lista de indicadores de compromiso, con hashes de archivos y dominios .onion utilizados como servidores de comando y control.
