Cargando precios…
Zipp Zipp Publicitar
Registrarse Iniciar sesión
🩸BEARISH CoinDesk

Microsoft alerta: gusano USB roba direcciones BTC y ETH

CryptoBandits muestra una escalada silenciosa: el secuestro del portapapeles combinado con el intercambio de direcciones en tiempo real durante una transferencia con copiar y pegar convierte la simple conexión de un USB en el vaciado total del monedero, con exfiltración basada en Tor hacia…

Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH
Microsoft alerta: gusano USB roba direcciones BTC y ETH

Microsoft ha revelado un tipo de malware que denomina "crypto clipper", que lleva propagándose desde febrero mediante memorias USB infectadas y secuestra monederos de cripto basados en Windows. Detectado por Defender como Trojan:Win32/CryptoBandits, el gusano se instala a través de un acceso directo .lnk malicioso, se ejecuta en segundo plano y espera a que se conecten nuevos USB para repetir el ciclo.

Una vez dentro del equipo, el componente que roba monederos consulta el portapapeles de Windows aproximadamente cada 500 milisegundos, vigilando las frases de recuperación y claves privadas asociadas a monederos de Bitcoin y Ethereum. Cuando detecta que se está preparando una transferencia, el malware sustituye en silencio la dirección del destinatario por una controlada por el atacante, de modo que un simple copiar y pegar puede enviar los fondos al monedero equivocado sin ninguna señal visible. Los datos capturados del portapapeles se exfiltran a través de la red Tor, junto con cinco capturas de pantalla tomadas con diez segundos de diferencia, para ocultar la ubicación del operador.

El mecanismo de propagación es lo que da a la campaña su durabilidad. Cuando se introduce una memoria USB limpia en un PC ya infectado, el gusano busca documentos comunes — archivos de Word, hojas de Excel y PDF — y sustituye cada uno por un acceso directo con el mismo nombre que vuelve a ejecutar la cadena de infección. Los documentos originales quedan ocultos y el ciclo se repite cada vez que esa memoria llega a otro equipo.

Por qué importa

CryptoBandits es una amenaza híbrida: es un stealer, un secuestrador del portapapeles y un gusano autorreplicante en un solo paquete. La mayoría del malware que roba monederos llega a través de páginas de phishing o extensiones de navegador maliciosas, donde un usuario atento puede detectar la trampa con frecuencia. Un gusano transportado por USB esquiva por completo esa puerta de entrada y convierte el soporte físico en el vehículo de distribución, algo que Microsoft destacó como comportamiento inusual.

El intercambio de direcciones en tiempo real es la mitad más peligrosa del diseño. Los secuestradores de portapapeles tradicionales registran frases de recuperación y claves privadas y esperan a que el usuario realice una transacción con la que poder competir. CryptoBandits, en cambio, reescribe el destino en tiempo real, lo que significa que un usuario que verifica dos veces la dirección después de pegar sigue viendo la cadena del atacante, no la que copió originalmente.

Tokens relacionados
$BTC $ETH
#CryptoBandits#CryptoClipper#Windows#PrivateKeys

Preguntas frecuentes

  1. ¿Qué es Trojan:Win32/CryptoBandits y qué hace?

    Es un gusano de tipo crypto clipper bautizado por Microsoft que se propaga a través de memorias USB infectadas, monitoriza el portapapeles de Windows en busca de frases de recuperación y claves privadas de monederos, e intercambia en silencio las direcciones de destino durante las transferencias de cripto.

  2. ¿Cómo roba cripto de un monedero el malware?

    Una vez instalado, consulta el portapapeles aproximadamente cada 500 milisegundos en busca de frases de recuperación y claves privadas asociadas a monederos de Bitcoin y Ethereum, exfiltra los datos a través de Tor y reescribe la dirección del destinatario copiada por una controlada por el atacante antes de que el…

  3. ¿Cómo se propaga el gusano de un equipo a otro?

    Se propaga mediante memorias USB: cuando se conecta una memoria limpia en un PC infectado, el gusano sustituye los documentos comunes — Word, Excel, PDF — por accesos directos .lnk con el mismo nombre que vuelven a ejecutar la cadena de infección. Los originales se ocultan y el ciclo se repite cada vez que esa memoria…

  4. ¿Desde cuándo está activo CryptoBandits?

    Microsoft ha indicado que el malware lleva propagándose desde febrero a través de memorias USB infectadas para atacar los monederos de cripto de usuarios de Windows.

  5. ¿Cómo pueden usuarios y equipos de seguridad defenderse de CryptoBandits?

    Microsoft recomienda desactivar el AutoRun en soportes extraíbles, bloquear la ejecución de archivos .lnk en memorias USB mediante directivas de grupo, restringir hosts de script como wscript.exe y cscript.exe, vigilar la telemetría de Defender ante conexiones locales a un proxy Tor en el puerto 9050, y auditar las…

Atribución de fuente
Agregado de CoinDesk · Verificado · Última actualización hace 1h
Abrir original →

Más de Seguridad

Historias que nuestros editores creen que combinan bien con esta.

Más antiguo en Seguridad

Ponte al día con la cobertura anterior de este tema.