Microsoft detecta un malware que roba datos de billeteras cripto y se propaga por USB
Microsoft identificó un malware que infecta equipos Windows mediante memorias USB y apunta a billeteras cripto. El programa puede capturar claves privadas, frases semilla y direcciones copiadas al portapapeles.
¿Qué pasó?
Microsoft identificó un malware que infecta equipos Windows mediante memorias USB y apunta a billeteras cripto. El programa puede capturar claves privadas, frases semilla y direcciones copiadas al portapapeles.
¿Por qué importa?
Microsoft recomendó desactivar AutoRun para medios removibles, bloquear la ejecución de archivos .lnk desde unidades USB mediante políticas de grupo y restringir hosts de scripts como wscript.exe y cscript.exe. La empresa también publicó indicadores de compromiso, incluidos hashes de archivos y dominios .onion, para que los equipos de seguridad puedan revisar sus redes.
Microsoft informó que un malware activo desde febrero está infectando computadoras Windows a través de memorias USB y atacando billeteras de criptomonedas. La compañía lo describe como un “crypto clipper”, mientras que Microsoft Defender Antivirus lo detecta como Trojan:Win32/CryptoBandits.
El hallazgo importa porque el ataque apunta a una de las zonas más sensibles del uso de cripto: la copia de frases semilla, claves privadas y direcciones de recepción. Según Microsoft, una vez instalado, el malware vigila el portapapeles de Windows y puede enviar datos robados al servidor del atacante mediante la red Tor.
La infección comienza cuando una memoria USB comprometida contiene un archivo de acceso directo malicioso con extensión .lnk. Si el usuario lo abre, se instala un gusano que ejecuta el componente de robo de billeteras y queda a la espera de que se conecten nuevas unidades USB limpias al mismo equipo.
Microsoft indicó que el malware revisa el portapapeles aproximadamente cada 500 milisegundos. Si detecta una frase semilla o una clave privada asociada a billeteras de Bitcoin o Ethereum, captura esa información; también puede tomar cinco capturas de pantalla con intervalos de diez segundos.
El programa además puede reemplazar silenciosamente una dirección de destino copiada por el usuario por una dirección controlada por el atacante, de modo que una transferencia se envíe al destino equivocado sin una señal visible. Para propagarse, escanea unidades USB limpias, sustituye documentos, hojas de cálculo y PDF por accesos directos con nombres idénticos, e infecta la unidad.
Microsoft recomendó desactivar AutoRun para medios removibles, bloquear la ejecución de archivos .lnk desde unidades USB mediante políticas de grupo y restringir hosts de scripts como wscript.exe y cscript.exe. La empresa también publicó indicadores de compromiso, incluidos hashes de archivos y dominios .onion, para que los equipos de seguridad puedan revisar sus redes.