El malware CryptoBandits permite a los criminales usar tu USB para acceder a carteras de criptomonedas – Microsoft advierte
La última investigación de Microsoft sobre malware de criptomonedas señala a las billeteras de criptomonedas, uno de varios puntos donde una transacción puede fallar, como una debilidad práctica clave en la autocustodia.
Una máquina Windows comprometida puede cambiar la dirección que un usuario copia, exponer una frase de recuperación antes de que se firme una transferencia, o enviar capturas de pantalla y contexto de la billetera de vuelta a un atacante.
En un informe del Blog de Seguridad del 17 de junio, Microsoft afirmó que el malware CryptoBandits, detectado como "CryptoBandits.A", había estado activo desde febrero de 2026 y ha llegado a los sistemas a través de archivos de acceso directo maliciosos de Windows en dispositivos de almacenamiento USB.
El malware también roba secretos de billeteras, intercambia las direcciones copiadas y se comunica con la infraestructura de comando y control a través de Tor. Microsoft indicó que monitorea el portapapeles aproximadamente cada 500 milisegundos y busca frases de recuperación, claves privadas y direcciones de billeteras.
Las billeteras de hardware, la verificación de direcciones y la disciplina con las frases de recuperación siguen siendo controles necesarios. Pero si el endpoint que gestiona un flujo de trabajo de billetera se ve comprometido, el atacante puede ver el secreto, cambiar el destino u observar la pantalla antes de que el usuario note que algo está mal.
CryptoSlate ha cubierto anteriormente patrones adyacentes de robo de billeteras, incluido el reemplazo de direcciones al estilo ClipBanker y el malware de billeteras vinculado a Microsoft. El nuevo elemento en el informe de Microsoft es la combinación de propagación por USB, robo del portapapeles, control enrutado por Tor y orientación operativa para detectar el comportamiento.
Cómo el malware CryptoBandits convierte los accesos directos USB en ejecución
Microsoft indicó que el acceso inicial se produce a través de archivos .lnk maliciosos, incluidos accesos directos distribuidos en dispositivos de almacenamiento USB. En los casos analizados por Microsoft, el acceso directo activa un componente de gusano.
El malware luego escanea la unidad USB en busca de archivos de documentos comunes, como .doc, .xlsx y .pdf, oculta los originales y crea nuevos archivos de acceso directo con los mismos nombres de archivo.
El resultado es una trampa conocida: un usuario cree que está abriendo un documento desde un medio extraíble, pero en realidad está lanzando la carga útil del gusano. Ese comportamiento se corresponde con el patrón de seguridad más amplio que MITRE ATT&CK describe como replicación a través de medios extraíbles, pero la consecuencia específica para las criptomonedas es más directa.
Una máquina utilizada para firmar, copiar o verificar detalles de la billetera pasa a formar parte de la superficie de ataque.
Una vez que se ejecuta el acceso directo malicioso, Microsoft indicó que el malware deposita cargas útiles de JavaScript ofuscadas en C:\Users\Public\Documents, utiliza tareas programadas para la persistencia y mantiene una tarea enfocada en propagarse a nuevas unidades USB insertadas. Otra tarea ejecuta la actividad de robo.
El ataque a menudo comienza con el manejo ordinario de archivos. Una unidad USB compartida, un archivo copiado o un viejo hábito con medios extraíbles puede colocar un endpoint que gestiona billeteras en un estado inseguro antes de que se abra cualquier software de billetera.
Esto convierte el uso rutinario de medios extraíbles en un riesgo de malware USB para cualquier dispositivo que luego interactúe con flujos de trabajo de billeteras.
Sin embargo, los métodos de prevención son prácticos. El momento de riesgo es la ejecución del acceso directo y la persistencia que le sigue, antes de que comience una acción con la billetera.
Para una persona o equipo que mueve criptomonedas, el dispositivo que abre medios extraíbles también puede ser el que luego copia una dirección de depósito, muestra un flujo de trabajo de recuperación o prepara una transferencia de tesorería.
Para las operaciones de billetera, la política de medios extraíbles se convierte en parte de las operaciones de custodia. Un usuario o equipo que trata una estación de trabajo de firma como una computadora de uso general hereda los riesgos de cada flujo de trabajo de documentos asociado con esa máquina.
Los dispositivos utilizados para la actividad de billetera necesitan menos formas de ejecutar accesos directos, scripts y cargas útiles no confiables.
El ataque comienza como un problema de acceso directo de Windows y luego se convierte en un problema de control de billetera. Una vez que el endpoint está comprometido, la secuencia normal del usuario de copiar direcciones, revisar pantallas y preparar transacciones le da al malware exactamente el material que fue diseñado para observar.
Cómo el malware CryptoBandits convierte el portapapeles en la ruta de transacción
El análisis de Microsoft muestra por qué un clipper de criptomonedas se vuelve grave cuando los fondos están en autocustodia. Después de registrarse con su servidor de comando y control, el malware entra en un bucle continuo que verifica el portapapeles aproximadamente cada medio segundo.
Busca frases de recuperación BIP39 de 12 o 24 palabras, claves WIF de Bitcoin, claves de Ethereum y direcciones de criptomonedas.
Si encuentra una frase de recuperación o clave privada, Microsoft indicó que el malware puede guardarla localmente y exfiltrarla a través de Tor. Si detecta una dirección de criptomoneda copiada, puede reemplazar ese valor con una dirección controlada por el atacante.
Para varios formatos de dirección, Microsoft indicó que el malware intenta hacer que el reemplazo parezca lo suficientemente similar para evadir verificaciones superficiales, como hacer coincidir los primeros caracteres de algunas direcciones de Bitcoin, Tron o Monero, o cambiando solo el último carácter en algunas direcciones de Bitcoin estilo Bech32.
Microsoft ha tratado el reemplazo de direcciones en el portapapeles como un problema de robo de billeteras durante años. En un informe de 2022 sobre cryware y hot wallets, la compañía describió el recorte y cambio como técnicas que interceptan los datos de la billetera antes de que se complete una transacción.
El informe de CryptoBandits.A muestra ese patrón vinculado a la propagación por medios extraíbles y el tráfico de comandos basado en Tor.
La guía oficial de soporte de billeteras agudiza el ángulo de custodia. La documentación de MetaMask trata las frases de recuperación y las claves privadas como secretos de control de billetera y por separado indica a los usuarios que verifiquen las direcciones de los destinatarios antes de confirmar un envío.
CryptoBandits.A apunta a ambos lados de ese flujo de trabajo: el secreto que controla la billetera y la dirección que recibe los fondos.
| Comportamiento observado | Riesgo de custodia | Respuesta práctica |
|---|---|---|
| Archivos de acceso directo USB maliciosos | Una acción normal de abrir un archivo puede lanzar la carga útil del gusano. | Desactivar AutoRun o AutoPlay donde sea posible y bloquear la ejecución de archivos .lnk desde unidades extraíbles. |
| Monitoreo del portapapeles y reemplazo de direcciones | Una dirección de destinatario copiada puede ser reemplazada antes de que se envíe una transacción. | Verificar el destino completo en una pantalla de confianza y evitar depender únicamente de la memoria del portapapeles. |
| Extracción de frase de recuperación y clave privada | Los secretos de control de billetera pueden abandonar el endpoint antes de que ocurra cualquier movimiento en cadena. | Mantener el material de recuperación fuera de máquinas conectadas a la red y tratar la exposición como un evento de rotación de billetera. |
| Subida de capturas de pantalla | Los atacantes pueden ver el contexto de la billetera, saldos o flujos de trabajo de recuperación. | Evitar mostrar material sensible de la billetera en máquinas de uso general. |
| Tráfico de comandos enrutado por Tor a través de localhost:9050 | El bloqueo basado en destino se vuelve más difícil porque el tráfico se enruta a través de un proxy local. | Buscar cadenas script-to-network, actividad de curl y comportamiento de proxy SOCKS5 local. |
Las billeteras de hardware dejan el riesgo del endpoint en el flujo de trabajo
Esta es una advertencia específica sobre el endpoint relacionada con el dispositivo en torno a la billetera. Mantener las claves privadas aisladas sigue siendo una de las defensas más sólidas contra muchos ataques comunes a billeteras.
Una suposición errónea es que la protección de hardware cubre cada paso de una transacción. Las billeteras de hardware pueden proteger las claves de firma, pero no pueden hacer que el portapapeles de una computadora comprometida sea confiable. Si un usuario copia una dirección de depósito de un exchange, una dirección de pago o una dirección de transferencia de tesorería en una máquina infectada, el malware puede alterar el valor antes de que el usuario lo pegue.
Si el usuario verifica solo unos pocos caracteres conocidos, una dirección de reemplazo diseñada para parecer similar puede pasar una revisión apresurada.
Las frases de recuperación crean un modo de fallo más grave. Una frase de recuperación escrita o copiada a través de una máquina Windows comprometida se convierte en un riesgo de compromiso remoto.
Microsoft indicó que el malware puede identificar frases de estilo BIP39 y exfiltrarlas al servidor de comando y control. Una vez que ese tipo de secreto queda expuesto, el riesgo se extiende más allá de un único intento de transferencia.
Para los individuos, la higiene de la billetera es en parte higiene del dispositivo. Para los fondos gestionados por equipos, los procedimientos de custodia deben tratar el comportamiento del endpoint como parte del proceso de aprobación de transacciones.
Una máquina utilizada para inspeccionar saldos, preparar transferencias, hacer bridge de activos o mover fondos desde un exchange debe tener un perfil de riesgo diferente al de una estación de trabajo que también abre medios extraíbles desconocidos.
El estándar útil es la separación. Un dispositivo que gestiona la actividad de la billetera debe tener menos razones para ejecutar scripts, abrir accesos directos desde unidades USB o copiar material de recuperación a través del portapapeles.
Cuando un flujo de trabajo depende del copiar y pegar, el destino mostrado en el dispositivo de firma o pantalla de confianza tiene más peso que la dirección mostrada en un navegador o ventana de chat.
Si se sospecha que una estación de trabajo ha sido expuesta, la respuesta también cambia. La exposición puede incluir más que solo una dirección incorrecta en una única transacción pendiente.
Puede incluir material de recuperación, claves privadas, capturas de pantalla y ejecución de comandos en la misma máquina. Eso impulsa la remediación hacia el aislamiento del endpoint, la rotación del material de billetera expuesto y la revisión de cualquier transferencia preparada en ese dispositivo.
La detección depende de señales de comportamiento
La guía de mitigación de Microsoft se centra en el comportamiento. La compañía recomienda desactivar AutoRun y AutoPlay para medios extraíbles, bloquear la ejecución de archivos .lnk desde unidades extraíbles a través de la Directiva de grupo donde sea posible, restringir el uso innecesario de hosts de scripts como wscript.exe y cscript.exe, y revisar las reglas de Reducción de Superficie de Ataque para scripts ofuscados y cadenas de procesos hijo sospechosos.
Para los equipos de seguridad, las señales más sólidas son de comportamiento. Microsoft indicó que los defensores deben investigar los casos en que los motores de scripts lanzan herramientas como curl, cmd.exe, PowerShell o ejecutables inesperados.
También señaló la actividad de proxy SOCKS5 local en localhost:9050, el comportamiento relacionado con el portapapeles y la actividad de captura de pantalla de PowerShell en dispositivos que gestionan flujos de trabajo financieros sensibles.
Esas señales se alinean con varias técnicas estándar de ATT&CK, incluida la recopilación de datos del portapapeles, el comando y control basado en proxy y la persistencia mediante tareas programadas.
Microsoft Defender también lista capacidad de detección para CryptoBandits, incluidos Trojan:Win32/CryptoBandits.A y detecciones de JavaScript relacionadas, junto con cobertura EDR para procesos de JavaScript sospechosos, exfiltración basada en curl y actividad del Programador de tareas.
El informe de Microsoft no revela el número de víctimas, los totales de robo confirmados, la distribución geográfica ni la atribución a actores con nombre. Eso limita cualquier afirmación sobre la escala del daño financiero.
La lección de custodia se sostiene en el comportamiento observado: un flujo de trabajo de billetera puede verse comprometido antes de que una transacción llegue a la cadena.
La conclusión inmediata es que los usuarios y operadores de criptomonedas deben tratar los endpoints como parte del stack de la billetera. Los controles USB, las restricciones de scripts, la verificación de direcciones y la disciplina con el portapapeles son parte de la seguridad de la autocustodia.
Son el camino que recorre una transacción antes de llegar a la cadena.
El artículo El malware CryptoBandits permite a los criminales usar tu unidad USB para acceder a billeteras de criptomonedas – Microsoft advierte apareció primero en CryptoSlate.
También te puede interesar
Hyperion DeFi y Blockdaemon se asocian para expandir la infraestructura de Staking en Defi institucional de Hyperliquid
La sobrina de Trump da la voz de alarma: Está 'en una espiral descendente'
Cómo la Ley de Claridad da forma a Bitcoin, Ethereum, XRP y el mercado de criptomonedas
