AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
Cripto
Trading

Microsoft alerta sobre malware CryptoBandits que cambia…

El gusano de Windows utiliza accesos directos .lnk maliciosos, sondea el portapapeles cada ~500 ms y exfiltra datos a través de Tor.

Por AI News Crypto Editorial Team5 min de lectura

Microsoft divulgó un gusano de Windows propagado por USB detectado como Trojan:Win32/CryptoBandits que ha apuntado a la actividad de billeteras de criptomonedas desde febrero de 2026. El malware observa el portapapeles en busca de frases semilla, claves privadas y direcciones de destinatarios, y puede reemplazar silenciosamente las direcciones de destino copiadas para redirigir las transferencias.

Puntos Clave

  • Un gusano de Windows propagado por USB rastreado como Trojan:Win32/CryptoBandits ha apuntado a la actividad de billeteras de criptomonedas desde febrero de 2026.
  • La infección inicial puede comenzar con un solo clic en un acceso directo de Windows malicioso (.lnk) colocado en una unidad USB infectada.
  • La carga útil consulta el portapapeles de Windows aproximadamente cada 500 milisegundos y puede intercambiar las direcciones de destinatarios copiadas antes de que un usuario las pegue en un flujo de transferencia.
  • Los datos robados se envían a través de Tor, y el malware también captura cinco capturas de pantalla espaciadas 10 segundos entre sí.

Microsoft Nombra a Trojan:Win32/CryptoBandits como un “Crypto Clipper” Propagado por USB

Microsoft divulgó una campaña de “crypto clipper” de Windows que se propaga a través de unidades USB infectadas y apunta a las operaciones de billeteras de criptomonedas. Microsoft Defender detecta la amenaza como Trojan:Win32/CryptoBandits, y Microsoft dijo que el gusano ha estado activo desde febrero de 2026.

La etiqueta importa menos que el flujo de trabajo que apunta. Este no es un truco de inyección de navegador de nicho. Está diseñado para residir en una máquina con Windows e interferir en el momento exacto en que se mueven los fondos, donde los comerciantes y usuarios avanzados dependen rutinariamente del copiar y pegar para evitar errores tipográficos.

De un Clic en .lnk a una Transferencia Secuestrada: Cómo Funciona el Intercambio de Portapapeles

La cadena de infección comienza en medios extraíbles. Una unidad USB infectada contiene un archivo de acceso directo malicioso de Windows que termina en “.lnk”. Cuando un usuario hace clic en él, el acceso directo ejecuta comandos controlados por el atacante que instalan el gusano en la PC.

Una vez residente, el componente que roba billeteras monitorea el portapapeles de Windows aproximadamente cada 500 milisegundos. Microsoft dijo que busca frases semilla, claves privadas, y direcciones de destinatarios. La parte más complicada del robo de billeteras es hacer que un usuario entregue secretos. Esta campaña reduce esa dependencia al apuntar a la ejecución de transferencias en su lugar.

El comportamiento crítico es reemplazo de direcciones. Cuando un usuario copia una dirección de destinatario para enviar fondos, el malware puede reemplazarla silenciosamente con una dirección controlada por el atacante antes de pegar, sin ninguna señal visible. Eso significa que un usuario puede hacer todo “correcto” al no escribir una frase semilla en un sitio de phishing y aún así ser engañado en el momento de la retirada o el envío en cadena.

Los datos capturados del portapapeles son exfiltrados a través de la red Tor. Microsoft también dijo que el malware toma cinco capturas de pantalla, separadas por diez segundos, y las envía al atacante, una forma simple de capturar lo que estaba en pantalla durante la configuración, inicio de sesión o confirmación de transferencia.

Por qué la propagación de USB cambia el modelo de amenaza para las operaciones de billetera

La propagación de USB convierte esto de un problema de un solo punto final en uno operativo. El gusano espera medios extraíbles adicionales y luego se propaga cuando se inserta una unidad USB limpia en la máquina infectada.

La descripción de Microsoft es contundente: el malware escanea la unidad limpia en busca de archivos ordinarios como documentos de Word, hojas de Excel y PDFs, y luego los reemplaza con archivos de acceso directo con el mismo nombre para infectar la unidad.

Esa es una trampa práctica para los flujos de trabajo de escritorio que mueven archivos entre máquinas, incluidas las costumbres semi-desconectadas donde los usuarios asumen que 'desconectado' es igual a seguro.

Para los comerciantes, el riesgo de segundo orden es el movimiento lateral hacia la máquina que realmente firma o prepara las transferencias. Una sola USB contaminada utilizada para 'simplemente mover un archivo' puede convertirse en el puente.

Manual de Defender: AutoRun, bloqueo de .lnk, hosts de script y caza de puerto Tor 9050

Microsoft recomendó deshabilitar AutoRun para medios extraíbles y bloquear la ejecución de .lnk en unidades USB a través de la Política de Grupo. También aconsejó restringir los hosts de script de Windows como wscript.exe y cscript.exe, que son rutas de ejecución comunes para cadenas de malware basadas en accesos directos y scripts.

En el lado de la detección, Microsoft dijo que los clientes de Defender pueden ejecutar consultas de caza para actividades relacionadas, incluidas conexiones consistentes con un proxy Tor local en el puerto 9050. Microsoft también publicó indicadores de compromiso para defensores, incluidos hashes de archivos y dominios de comando y control .onion.

Lo que sigue sin estar claro es el alcance. La divulgación, tal como se proporcionó, no cuantifica el número de víctimas, regiones, aplicaciones de billetera específicas o fondos robados. La próxima señal concreta será si Microsoft expande esos detalles y si nuevas detecciones vinculan a CryptoBandits con software de billetera particular o flujos de trabajo de retiro de intercambio.

Para las empresas y los equipos de comercio, la telemetría inmediata a observar es la ejecución de .lnk desde medios extraíbles y cualquier actividad similar a un proxy Tor en el puerto 9050, luego emparejando los hashes actualizados de Microsoft y la infraestructura .onion contra los registros de punto final y de red.

La opinión de Marcus Hale: El modo de fallo silencioso es el reemplazo de dirección, no el robo de claves

Trato esto como un problema de estructura de mercado para las operaciones de autocustodia, no como un titular sobre 'nuevo malware'. El diseño está optimizado para el camino de robo de menor fricción: recortar la dirección de destino en el momento de la transferencia, y el usuario hace el resto.

El umbral que importa es si los defensores pueden detectar de manera confiable la ejecución de .lnk en medios extraíbles y los artefactos del proxy Tor antes de que se envíe el primer envío malo.

La propagación de USB es el multiplicador. Si ese patrón de salto se mantiene en los flujos de trabajo reales de escritorio, la configuración comienza a parecer estructural en lugar de impulsada por narrativas, porque apunta al comportamiento de mover archivos del que muchos equipos aún dependen.

Este desarrollo es importante en términos prácticos si CryptoBandits aparece como .lnk-repetible desde USB más telemetría Tor-9050 dentro de entornos que rutinariamente preparan y ejecutan retiros.

Fuentes