Microsoft Threat Intelligence y Microsoft Defender Experts afirmaron haber identificado un clipper cripto para Windows que lleva afectando a usuarios desde febrero de 2026. El malware se propaga a través de accesos directos .lnk maliciosos y unidades USB, lanza un proxy Tor empaquetado mediante Windows Script Host y ActiveX, y se conecta a servidores de comando y control en hidden services.
Por qué importa
El kit de herramientas del operador va mucho más allá del clásico truco del intercambiador de direcciones. Microsoft explicó que el malware puede robar datos del portapapeles, exfiltrar seed phrases y claves privadas, capturar capturas de pantalla y reescribir las direcciones de destino en el portapapeles — lo que significa que una sola máquina infectada puede vaciar monederos calientes, monederos de software y cualquier flujo de trabajo que pegue una dirección antes de enviar. Microsoft Defender Antivirus detecta la familia como Trojan:Win32/CryptoBandits.A.
Impacto en el mercado
El vector offline — USB y archivos de acceso directo en lugar de páginas de phishing — es la parte que la comunidad de seguridad estudiará con más atención, ya que esquiva las protecciones de correo electrónico y navegador en las que confía la mayoría de usuarios minoristas. Para los inversores, la lectura práctica no cambia: mantén los saldos relevantes fuera de máquinas conectadas a internet, verifica las direcciones carácter a carácter en la pantalla de un monedero hardware y trata cualquier host Windows que toque seed phrases como comprometido para cold storage por defecto.
Mantente a salvo
Microsoft Defender detecta y pone en cuarentena esta familia de forma automática, pero el malware clipper con propagación offline tiende a persistir en máquinas sin parches. Ejecuta un análisis completo de Defender, revisa cualquier unidad USB que haya estado en contacto con hosts desconocidos y asume que cualquier máquina usada para generar o pegar una seed phrase ya no es segura para ese fin.
Preguntas frecuentes
-
¿Qué es Trojan:Win32/CryptoBandits.A?
Es el nombre de detección de Microsoft Defender para una familia de clippers cripto para Windows activa desde febrero de 2026. Se propaga mediante accesos directos .lnk maliciosos y unidades USB, ejecuta un proxy Tor empaquetado y se conecta a servidores C2 en hidden services.
-
¿Cómo roba cripto este clipper en la práctica?
Puede exfiltrar datos del portapapeles, seed phrases y claves privadas, capturar pantallas y reescribir las direcciones de destino en el portapapeles, de modo que un único host infectado puede vaciar monederos calientes de principio a fin.
-
¿Por qué es importante el vector de propagación por USB y accesos directos .lnk?
Esquiva las protecciones de correo y navegador en las que confía la mayoría de usuarios minoristas. El malware llega al host sin conexión, por lo que las defensas estándar contra phishing no detienen la infección inicial.
-
¿Microsoft Defender protege frente a este clipper?
Sí. Microsoft Defender Antivirus detecta la familia como Trojan:Win32/CryptoBandits.A y la pone en cuarentena automáticamente. Un análisis completo de Defender detectará infecciones en un host.
-
¿Qué deben hacer los tenedores de cripto si se infecta una máquina Windows?
Revisa cualquier unidad USB que haya tocado el host, ejecuta un análisis completo de Defender y trata cualquier máquina usada para generar o pegar una seed phrase como comprometida para cold storage. Mueve los fondos a un monedero nuevo cuya seed nunca haya vivido en la máquina afectada y rota las direcciones.
TheBlock
CoinTelegraph
CryptoSlate
Lookonchain
Crypto Rank News