Microsoft encuentra un gusano USB que roba criptomonedas mediante el secuestro del portapapeles y Tor
TL; DR
Microsoft descubrió un gusano USB activo desde febrero que secuestra portapapeles para intercambiar direcciones de billeteras criptográficas y rootear datos robados a través de un cliente Tor portátil.
Microsoft Threat Intelligence ha identificado una nueva cepa de malware autopropagante que se propaga a través de unidades USB, monitorea el portapapeles de Windows en busca de direcciones de billeteras de criptomonedas y frases iniciales, y enruta todos los datos robados a través de un cliente Tor portátil para evitar la detección. La promoción ha estado activa desde al menos febrero de 2026, según el análisis de Microsoft publicado esta semana.
El malware, que Microsoft identifica como Trojan:Win32/CryptoBandits.A, actúa como un gusano USB clásico con una carga útil moderna. Cuando un usuario conecta una unidad infectada, ve lo que parecen ser sus archivos de documentos normales. Los originales están ocultos y son reemplazados por archivos de acceso directo de Windows (.lnk) que llevan el mismo nombre y que ejecutan malware silenciosamente cuando se abren.
Archivos .lnk Escanea la unidad en busca de documentos con extensiones .doc, .xlsx y .pdf, oculta los originales y crea archivos de acceso directo coincidentes en su lugar. El componente del gusano puede escribirse a sí mismo en cualquier unidad USB nueva conectada a una máquina infectada, lo que le permite propagarse más sin que el usuario tenga que intervenir más allá de abrirlo como un archivo normal.
💜 de tecnología de la UE
Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!
Una vez que se ejecuta en un sistema, el malware implementa un cliente Tor portátil renombrado ugate.exe y configura un proxy SOCKS5 en el puerto 9050 del host local. Luego, todo el tráfico de comando y control se enruta a través de la red .onion de Tor, lo que dificulta significativamente que los firewalls corporativos y las herramientas de seguridad intercepten o rastreen las comunicaciones. La infraestructura C2 utiliza tres rutas de punto final: /route.php para el check-in, /recvf.php para cargar archivos robados y /stub.php para descargar cargas útiles adicionales.
La supervisión del portapapeles es el principal mecanismo sigiloso del malware. Comprueba el portapapeles de Windows aproximadamente cada 500 milisegundos, buscando patrones que coincidan con direcciones de billeteras de criptomonedas o frases de recuperación. Cuando detecta una coincidencia, reemplaza silenciosamente la dirección copiada con una controlada por el atacante, por lo que la víctima, sin saberlo, envía fondos a la billetera equivocada.
El malware se dirige a seis criptomonedas en múltiples formatos de direcciones. Para Bitcoin, reconoce direcciones heredadas que comienzan con "1,Comenzando con "direcciones hash de pago a script".3,Comenzando con "direcciones nativas SegWit".bc1q," y la dirección Taproot comienza con "bc1p.También apunta a direcciones Tron que comienzan con "t" y las direcciones de Monero comienzan con "4"o"8"El secuestro del portapapeles para robar criptomonedas no se limita a Windows; los troyanos de Android como Rockrolla utilizan tácticas similares para redirigir los pagos criptográficos a dispositivos móviles.
Más allá de la dirección de la billetera, el malware escanea el contenido del portapapeles en busca de la frase inicial BIP39, una clave de recuperación de 12 o 24 palabras que otorga acceso completo a una billetera de criptomonedas. También extrae claves privadas de Ethereum y claves de formato de importación de billetera de Bitcoin (WIF). La captura de una frase inicial o clave privada brinda a los atacantes control total sobre la billetera asociada, no solo la capacidad de redirigir una sola transacción.
El malware incluye un módulo de vigilancia que captura cinco capturas de pantalla en intervalos de diez segundos y las empaqueta para cargarlas en los servidores C2. Esto brinda a los operadores un registro visual de lo que estaba haciendo la víctima durante la infección, lo que podría revelar credenciales adicionales, pestañas abiertas del navegador o paneles financieros.
Un comando llamado EVAL permite a los operadores de C2 enviar y ejecutar código arbitrario en máquinas infectadas, convirtiendo al ladrón de criptomonedas en una herramienta de acceso remoto de uso general. Microsoft señala que esta capacidad significa que los actores de amenazas pueden adaptar el comportamiento del malware después de su implementación sin necesidad de volver a infectar el objetivo.
El malware emplea múltiples capas de evasión. El instalador principal es un ejecutable basado en Python que está ofuscado con PyArmor y empaquetado con PyInstaller, lo que dificulta el análisis estático. Las cargas útiles de JavaScript se colocan en C:\Users\Public\Documents mediante un esquema de ofuscación de doble capa independiente.
Como medida antianálisis, el malware comprueba si el Administrador de tareas se está ejecutando y sale si se detecta el proceso, una forma rudimentaria pero eficaz de frustrar una investigación informal.
El uso de Tor para las comunicaciones C2 refleja un cambio mayor en la infraestructura de malware hacia redes anónimas que resisten los intentos de eliminación. El malware tradicional que depende de dominios estáticos o direcciones IP puede verse interrumpido cuando los defensores se apoderan de esos recursos. Los canales C2 basados en Tor ya son bastante difíciles de cerrar porque las direcciones .onion no están vinculadas a un registrador o proveedor de alojamiento al que se pueda obligar a actuar.
Microsoft recomienda una serie de mitigaciones, comenzando por deshabilitar la ejecución y reproducción automáticas, para evitar la ejecución automática cuando se conecta una unidad USB. La Política de grupo se puede configurar para bloquear la ejecución de archivos .lnk en medios extraíbles, y restringir wscript.exe y cscript.exe a través de la Política de control de aplicaciones evita que se ejecuten cargas útiles basadas en JavaScript.
Localhost puede marcar las máquinas de monitoreo de red para que se conecten al puerto 9050 donde está instalado el cliente Tor portátil.
El malware transmitido por USB quedó en gran medida fuera del foco de atención de la seguridad a medida que las herramientas de colaboración y almacenamiento en la nube redujeron la dependencia de las unidades físicas. Pero los ataques a la cadena de suministro y a la explotación de la confianza siguen siendo efectivos precisamente porque apuntan a comportamientos que los usuarios consideran rutinarios, ya sea conectar una unidad USB o instalar un paquete desde un repositorio conocido.
Microsoft publicó indicadores de compromiso SHA-256, mapeo de técnicas MITRE ATT&CK y consultas de búsqueda KQL en su publicación de blog para ayudar a los equipos de seguridad a identificar infecciones existentes. La compañía dijo que detectó la familia de malware Microsoft Defender y su equipo de expertos en Defender ayudó en la investigación. Microsoft no atribuyó la campaña a un actor de amenazas específico ni estimó el número de infecciones.
