Microsoft encuentra un gusano USB que roba criptomonedas a través del secuestro del portapapeles y Tor

      TL;DRMicrosoft encontró un gusano USB activo desde febrero que secuestra portapapeles para intercambiar direcciones de billeteras de criptomonedas y enruta datos robados a través de un cliente Tor portátil. Microsoft Threat Intelligence ha identificado una nueva cepa de malware autorreplicante que se propaga a través de unidades USB, monitorea el portapapeles de Windows en busca de direcciones de billeteras de criptomonedas y frases semilla, y enruta todos los datos robados a través de un cliente Tor portátil para evitar la detección. La campaña ha estado activa desde al menos febrero de 2026, según el análisis de Microsoft publicado esta semana. El malware, que Microsoft detecta como Trojan:Win32/CryptoBandits.A, funciona como un gusano USB clásico con una carga útil moderna. Cuando un usuario conecta una unidad infectada, ve lo que parecen ser sus archivos de documentos habituales. Los originales han sido ocultados, reemplazados por archivos de acceso directo de Windows (.lnk) que llevan los mismos nombres y que ejecutan silenciosamente el malware al abrirse. Los archivos .lnk escanean la unidad en busca de documentos con extensiones .doc, .xlsx y .pdf, ocultan los originales y crean archivos de acceso directo coincidentes en su lugar. El componente del gusano también se copia a cualquier nueva unidad USB conectada a una máquina infectada, lo que le permite propagarse aún más sin acción del usuario más allá de abrir lo que parece ser un archivo normal. El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Regístrate ahora! Una vez que se ejecuta en un sistema, el malware despliega un cliente Tor portátil renombrado como ugate.exe y configura un proxy SOCKS5 en el puerto 9050 de localhost. Todo el tráfico de comando y control se enruta a través de la red .onion de Tor, lo que dificulta significativamente que los cortafuegos corporativos y las herramientas de seguridad intercepten o rastreen las comunicaciones. La infraestructura de C2 utiliza tres rutas de punto final: /route.php para registros, /recvf.php para cargar archivos robados y /stub.php para descargar cargas útiles adicionales. El monitoreo del portapapeles es el mecanismo principal de robo del malware. Verifica el portapapeles de Windows aproximadamente cada 500 milisegundos, buscando patrones que coincidan con direcciones de billeteras de criptomonedas o frases de recuperación. Cuando detecta una coincidencia, reemplaza silenciosamente la dirección copiada por una controlada por el atacante, de modo que la víctima envíe sin saber fondos a la billetera incorrecta. El malware apunta a seis criptomonedas en múltiples formatos de dirección. Para Bitcoin, reconoce direcciones heredadas que comienzan con "1", direcciones Pay-to-Script-Hash que comienzan con "3", direcciones nativas de SegWit que comienzan con "bc1q" y direcciones de Taproot que comienzan con "bc1p". También apunta a direcciones de Tron que comienzan con "T" y direcciones de Monero que comienzan con "4" u "8". El secuestro del portapapeles para el robo de criptomonedas no se limita a Windows, con troyanos de Android como Rokarolla utilizando la misma técnica para redirigir pagos de criptomonedas en dispositivos móviles. Más allá de las direcciones de billetera, el malware escanea el contenido del portapapeles en busca de frases semilla BIP39, las claves de recuperación de 12 o 24 palabras que otorgan acceso completo a una billetera de criptomonedas. También extrae claves privadas de Ethereum y claves de formato de importación de billetera de Bitcoin (WIF). Capturar una frase semilla o clave privada otorga a los atacantes control total sobre la billetera asociada, no solo la capacidad de redirigir una sola transacción. El malware incluye un módulo de vigilancia que captura cinco capturas de pantalla en un intervalo de diez segundos, empaquetándolas para su carga al servidor C2. Esto proporciona a los operadores un registro visual de lo que la víctima estaba haciendo en el momento de la infección, revelando potencialmente credenciales adicionales, pestañas de navegador abiertas o paneles financieros. Un comando llamado EVAL permite a los operadores de C2 enviar y ejecutar código arbitrario en máquinas infectadas, convirtiendo al ladrón de criptomonedas en una herramienta de acceso remoto de propósito general. Microsoft señala que esta capacidad significa que los actores de amenazas pueden adaptar el comportamiento del malware después de su implementación sin necesidad de reinfectar el objetivo. El malware emplea múltiples capas de evasión. El instalador inicial es un ejecutable basado en Python ofuscado con PyArmor y empaquetado con PyInstaller, lo que dificulta el análisis estático. Las cargas útiles de JavaScript que se dejan en C:UsersPublicDocuments utilizan un esquema de ofuscación de doble capa separado. Como medida anti-análisis, el malware verifica si el Administrador de tareas está en ejecución y sale si detecta el proceso, una forma básica pero efectiva de frustrar investigaciones casuales. El uso de Tor para las comunicaciones de C2 refleja un cambio más amplio en la infraestructura de malware hacia redes de anonimización que resisten los esfuerzos de desmantelamiento. El malware tradicional que depende de dominios o direcciones IP fijas puede ser interrumpido cuando los defensores se apoderan de esos activos. Los canales de C2 basados en Tor son sustancialmente más difíciles de cerrar porque las direcciones .onion no están vinculadas a ningún registrador o proveedor de alojamiento que pueda ser obligado a actuar. Microsoft recomienda varias mitigaciones, comenzando por deshabilitar AutoRun y AutoPlay para prevenir la ejecución automática cuando se conectan unidades USB. La Política de grupo se puede configurar para bloquear archivos .lnk de ejecutarse en medios extraíbles, y restringir wscript.exe y cscript.exe a través de políticas de control de aplicaciones evita que las cargas útiles basadas en JavaScript se ejecuten. El monitoreo de red para conexiones al puerto 9050 de localhost puede señalar máquinas donde se ha instalado el cliente Tor portátil. El malware transportado por USB había caído en gran medida fuera del foco de seguridad a medida que el almacenamiento en la nube y las herramientas de colaboración redujeron la dependencia de unidades físicas. Pero los ataques de explotación de la cadena de suministro y la confianza siguen siendo efectivos precisamente porque apuntan a comportamientos que los usuarios consideran rutinarios, ya sea conectar una unidad USB o instalar un paquete de un repositorio familiar. Microsoft publicó indicadores de compromiso SHA-256, mapeos de técnicas MITRE ATT&CK y consultas de caza KQL en su publicación de blog para ayudar a los equipos de seguridad a detectar infecciones existentes. La compañía dice que Microsoft Defender detecta la familia de malware, y su equipo de Expertos en Defender asistió en la investigación. Microsoft no atribuyó la campaña a un actor de amenaza específico ni estimó el número de infecciones.