Microsoft ha descubierto un programa malicioso que intercepta las transferencias de criptomonedas a través de memorias USB. Así es como funciona.

El equipo de inteligencia sobre amenazas de Microsoft reveló el 17 de junio que ha estado rastreando una campaña de malware para Windows desde febrero de 2026, la cual se propaga a través de unidades USB infectadas y secuestra silenciosamente las transferencias de criptomonedas.

El malware, que Microsoft Defender Antivirus detecta como Trojan:Win32/CryptoBandits, monitoriza el portapapeles de la víctima aproximadamente cada 500 milisegundos y reemplaza las direcciones de monedero copiadas por direcciones controladas por el atacante antes de que el usuario las pegue. La transacción se completa con normalidad en la pantalla de la víctima. Los fondos van a parar a otro lugar.

El método de infección es antiguo, pero su ejecución es inusualmente sofisticada para lo que normalmente es una clase de malware sencilla.

El ataque comienza cuando se conecta una unidad USB limpia a un equipo ya infectado. El gusano escanea la unidad en busca de archivos comunes, como documentos de Word, hojas de cálculo de Excel y archivos PDF, oculta los originales y los reemplaza con archivos de acceso directo maliciosos que utilizan nombres e iconos idénticos.

Cuando la unidad USB se conecta a otro ordenador y la víctima hace clic en lo que parece ser su propio documento, el Explorador de Windows procesa automáticamente el archivo .lnk malicioso y el código malicioso se ejecuta en segundos. Sin descargas, sin correos electrónicos de phishing, sin enlaces sospechosos. Simplemente una memoria USB que parece completamente normal.

Una vez activo en un nuevo equipo, el malware ejecuta dos procesos simultáneamente. Comienza a monitorear el portapapeles en busca de datos valiosos y espera a que se conecte la siguiente unidad USB limpia para repetir el ciclo de propagación.

CryptoBandits ataca tres categorías específicas de datos del portapapeles, y comprender cada una de ellas es importante para evaluar su propia exposición:

• Frases semilla y claves privadas. Si copias la frase semilla de una billetera o una clave privada por cualquier motivo, aunque sea brevemente, el malware la captura y la extrae al servidor del atacante a través de la red Tor.

• Capturas de pantalla. El malware toma cinco capturas de pantalla con intervalos de diez segundos cada vez que detecta actividad relevante en el portapapeles, capturando así el contexto visual que un atacante puede usar para confirmar lo que fue robado.

• Direcciones de monedero del destinatario. Esta es la capacidad más peligrosa. Cuando copias una dirección de destino para enviar fondos, el malware la reemplaza silenciosamente por una dirección controlada por el atacante antes de que la pegues. Ves tu propia dirección. Confirmas la transacción. El dinero va al atacante.

El análisis de Microsoft reveló que el malware utiliza Windows Script Host y lógica basada en ActiveX para lanzar un proxy Tor integrado y comunicarse con un servidor de comando y control de servicio oculto.

También configura tareas programadas para garantizar su persistencia, lo que significa que sobrevive a un reinicio y continúa monitorizando indefinidamente. Si el servidor del atacante devuelve comandos específicos, el malware puede ejecutar código adicional en tiempo de ejecución, lo que le otorga capacidades que van más allá de una herramienta típica para robar carteras.

Según los incidentes que hemos analizado en este ámbito de la seguridad, el malware estándar de secuestro de portapapeles existe desde hace años y es relativamente fácil de detectar, ya que normalmente requiere una conexión a internet constante a un servidor fijo. CryptoBandits enruta toda la comunicación a través de Tor, lo que anonimiza la infraestructura de comando y control y dificulta considerablemente la detección basada en la red.

La propagación a través de USB, similar a un gusano, también representa una escalada significativa. La mayoría del malware moderno se propaga mediante correos electrónicos de phishing, anuncios maliciosos o descargas comprometidas. La propagación física a través de medios extraíbles elude los filtros de correo electrónico, las advertencias de seguridad del navegador y la mayoría de las herramientas de detección de endpoints optimizadas para amenazas basadas en la red. La empresa de seguridad NS3.AI confirmó que los usuarios se han visto afectados desde febrero, y Binance compartió la advertencia de Microsoft directamente con su base de usuarios tras la divulgación.

Las medidas correctivas recomendadas por Microsoft son específicas y conviene implementarlas de inmediato, independientemente de si ha notado algo inusual:

• Desactive la función AutoRun y AutoPlay para todos los medios extraíbles en cada máquina Windows que utilice para operar.

• Bloquea la ejecución de archivos .lnk desde unidades USB a nivel de política del sistema si tu sistema operativo lo permite.

• Nunca copies y pegues una dirección de billetera sin verificar visualmente que los primeros y últimos caracteres coincidan con lo que esperas, siempre.

• Evite copiar frases semilla o claves privadas al portapapeles. Escríbalas directamente o utilice una cartera de hardware que nunca exponga la clave al sistema operativo.

• Si ha utilizado unidades USB desconocidas en un ordenador de trading desde febrero, compruebe sus sistemas comparándolos con los indicadores de compromiso que Microsoft publicó en su blog de seguridad.

La verificación de direcciones es la defensa más importante en este caso. El modelo del malware se basa en que la víctima confíe en que lo que copió es lo que se pega. Un operador que verifica manualmente los primeros cuatro y los últimos cuatro caracteres de cualquier dirección de destino antes de confirmar una transferencia neutraliza este ataque, independientemente de si el malware está presente en su sistema.

Los operadores financiados dedican mucho tiempo a pensar en los límites de pérdidas , el tamaño de las posiciones y el riesgo de mercado. La campaña de CryptoBandits nos recuerda que el ordenador que ejecuta las operaciones también forma parte de la superficie de riesgo.

Un ataque de secuestro de portapapeles no entiende de disciplina en tu estrategia de trading. No respeta tu stop loss ni tu límite de pérdidas diario. Simplemente espera una transferencia y la redirige. Por lo que hemos observado en los incidentes de seguridad que hemos rastreado este año, los traders que evitan por completo este tipo de pérdidas no son los más expertos en tecnología.

Son quienes consideran la verificación básica un hábito innegociable, del mismo modo que aplican la gestión de riesgos en cada transacción. Verifican cada dirección. Cuestionan cada unidad USB desconocida. El coste de la verificación es de segundos. El coste de no verificar no tiene límite.