\n
Un malware detectado por\u00a0Microsoft\u00a0<\/a>se propaga a trav\u00e9s de unidades USB infectadas y tiene como objetivo las wallets de criptomonedas de usuarios<\/b>\u00a0con sistema operativo\u00a0Windows<\/b>. Seg\u00fan un post\u00a0publicado\u00a0<\/b>por la compa\u00f1\u00eda, el ataque lleva activo desde\u00a0febrero de 2026<\/b>\u00a0y fue identificado<\/strong> <\/a>por su herramienta\u00a0Microsoft Defender Antivirus<\/b>\u00a0bajo la clasificaci\u00f3n\u00a0Trojan:Win32\/CryptoBandits<\/strong>.<\/p>\n El mecanismo es secuencial y silencioso. El vector de entrada es\u00a0una unidad USB que contiene un archivo de acceso directo malicioso<\/b>, con extensi\u00f3n\u00a0.lnk.\u00a0<\/b>Cuando el usuario conecta el dispositivo y hace clic en ese archivo,\u00a0se instala un worm en el equipo<\/b>. Desde ese momento, el c\u00f3digo opera en dos frentes de forma simult\u00e1nea: ejecuta continuamente el componente de robo de wallets y\u00a0permanece a la espera de que se conecte un USB limpio al mismo equipo para replicarse.<\/b><\/p>\n El componente de robo\u00a0monitorea el portapapeles de Windows<\/strong>\u00a0cada 500 milisegundos<\/b>, el espacio temporal de memoria utilizado en las operaciones de\u00a0copiar y pegar<\/b>. Si el usuario copia una\u00a0frase semilla o una clave privada<\/a><\/b>\u00a0de una wallet de Bitcoin o Ethereum, el malware\u00a0captura esa informaci\u00f3n y la env\u00eda al servidor del atacante<\/b>\u00a0a trav\u00e9s de la red\u00a0Tor<\/strong>, que provee comunicaci\u00f3n an\u00f3nima. Adem\u00e1s,\u00a0toma cinco capturas de pantalla separadas por diez segundos y las transmite junto con los datos robados<\/b>.<\/p>\n El problema no termina ah\u00ed. Si el usuario copia la\u00a0direcci\u00f3n de un destinatario<\/b>\u00a0para enviar fondos, el worm\u00a0la reemplaza de forma silenciosa por una direcci\u00f3n controlada por el atacante<\/b>\u00a0antes de que se complete el pegado. La transferencia se redirige sin ning\u00fan indicio visible para el usuario.<\/p>\n La propagaci\u00f3n ocurre\u00a0cuando se conecta un USB limpio al equipo<\/b>\u00a0comprometido. El worm escanea los archivos del dispositivo<\/strong><\/a>, documentos de Word, hojas de Excel y PDFs, los reemplaza por archivos de acceso directo con los mismos nombres e infecta esa nueva unidad para continuar el ciclo.<\/p>\n Microsoft recomend\u00f3\u00a0deshabilitar el AutoRun<\/strong>\u00a0para medios extra\u00edbles<\/b>,\u00a0bloquear la ejecuci\u00f3n de archivos .lnk en USB mediante pol\u00edticas de grupo y restringir hosts de scripts como wscript.exe y cscript.exe<\/b>. La compa\u00f1\u00eda tambi\u00e9n public\u00f3 una lista de\u00a0indicadores de compromiso<\/b>, con hashes de archivos y dominios .onion utilizados como servidores de comando y control.<\/p>\n","protected":false},"excerpt":{"rendered":" Puntos clave de la noticia: Microsoft identific\u00f3 un malware tipo \u00abcrypto clipper\u00bb que se propaga por USB infectados y roba claves privadas de wallets. El troyano, clasificado como Trojan:Win32\/CryptoBandits, monitorea el portapapeles de Windows cada 500 milisegundos para capturar frases semilla y claves privadas. Al detectar una transferencia, el worm reemplaza silenciosamente la direcci\u00f3n de … <\/p>\n![\"Hack](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2026\/02\/Hackers.png\")
<\/p>\nCapturas de Pantalla y Reemplazos de Informaci\u00f3n<\/h2>\n
![\"microsoft](\"https:\/\/crypto-economy.com\/es\/\/wp-content\/uploads\/sites\/4\/2024\/12\/microsoft-post-1.jpeg\")
<\/p>\nMicrosoft Recomienda Medidas de Seguridad<\/h3>\n