Microsoft alerta sobre malware ‘Crypto Clipper’ que roba criptomonedas a través de memorias USB

El equipo de Microsoft Threat Intelligence ha emitido una advertencia sobre una nueva variante de malware clipper de criptomonedas que se propaga activamente a través de memorias USB desde febrero de 2026. El troyano, denominado Trojan:Win32/CryptoBandits.A, roba datos del portapapeles —incluyendo claves privadas y frases semilla de Bitcoin y Ethereum— y utiliza la red Tor para comunicarse con sus operadores sin ser detectado. Además de sustraer activos digitales, el malware funciona como una puerta trasera, permitiendo la ejecución remota de código malicioso, como ransomware.

¿Cómo funciona el malware ‘Crypto Clipper’?

Propagación automática y suplantación de archivos

El malware se replica automáticamente a dispositivos de almacenamiento USB conectados al equipo. Una vez dentro del sistema, oculta archivos legítimos y los reemplaza por accesos directos (.lnk) que parecen originales. Cuando la víctima hace clic en el acceso directo, ejecuta el malware sin saberlo. Un componente «gusano» (worm) permite que el programa se propague de forma autónoma a otras memorias USB que se conecten al equipo infectado, ampliando así el alcance de la infección.

Robo de alta frecuencia y sustitución de carteras

El clipper monitorea el portapapeles de Windows de forma constante, en lo que Microsoft describe como «high-frequency clipboard theft» o robo de portapapeles de alta frecuencia. Entre los objetivos específicos se encuentran:

• Frases semilla mnemotécnicas BIP39, utilizadas para recuperar carteras de criptomonedas.
• Claves privadas de Bitcoin y Ethereum.
• Direcciones de carteras copiadas de Bitcoin, Tron y Monero, que son reemplazadas automáticamente por direcciones controladas por los atacantes.

Además, el malware toma capturas de pantalla cada 10 segundos para obtener contexto adicional de la actividad del usuario en el equipo comprometido.

Persistencia y puerta trasera (Backdoor)

El malware no solo roba datos; actúa como una puerta trasera persistente que otorga a los atacantes control continuo sobre el dispositivo. Según la advertencia de Microsoft: «Esta combinación de C2 enrutado por Tor, direccionamiento al portapapeles, captura de pantalla y ejecución remota de código les da a los atacantes rutas de monetización inmediatas y control continuo sobre los dispositivos comprometidos».

La puerta trasera permite a los atacantes ejecutar código arbitrario —como ransomware— en cualquier momento, transformando un robo de criptomonedas en una infección destructiva de mayor alcance.

Técnicas de ocultación avanzadas: El uso de la red Tor

EvasIón de infraestructura tradicional

El malware no utiliza instaladores tradicionales ni direcciones IP expuestas, lo que dificulta su detección inicial. En su lugar, despliega dos cargas útiles JavaScript ofuscadas en la carpeta «Documents» de Windows. Además, crea tareas programadas tanto para el componente gusano como para el recolector de datos (stealer), asegurando su persistencia en el sistema.

Red Tor y ofuscación de archivos

Para evadir la vigilancia de seguridad, el malware instala de forma encubierta una copia del navegador Tor en el equipo de la víctima. Con el objetivo de disimular su presencia, el ejecutable de Tor es renombrado como ugate.exe. Las comunicaciones con los operadores maliciosos se realizan exclusivamente a través de direcciones «.onion» anónimas, haciendo casi imposible rastrear el origen de los comandos.

Microsoft señaló al respecto: «Esta familia de malware muestra cómo los robos ligeros basados en scripts pueden generar un impacto desproporcionado cuando se combinan con comunicaciones anónimas y tareas en tiempo de ejecución».

Contexto y recomendaciones para 2026

Escalada de amenazas en 2026

El año 2026 ha visto una escalada significativa en los robos de criptomonedas dirigidos a sistemas Windows. A principios de este mes, el equipo de inteligencia de amenazas de Foresiet identificó una nueva cepa de malware llamada Lucid Stealer, que se enfoca en extensiones de navegador y carteras de criptomonedas, sumándose a la creciente ola de amenazas contra usuarios de activos digitales.

Medidas de protección recomendadas por Microsoft

Ante esta amenaza activa, Microsoft ha emitido una serie de recomendaciones para mitigar el riesgo de infección:

• Deshabilitar la reproducción automática (Autoplay) en dispositivos extraíbles, para evitar la ejecución no autorizada de archivos.
• Bloquear la ejecución de accesos directos (.lnk) desde unidades USB, ya que es el principal vector de infección.
• Monitorear actividad de proxy y procesos hijos (scripts) inusuales en el sistema, que podrían indicar la presencia del malware.
• Mantener actualizado el sistema de protección: Microsoft Defender Antivirus detecta esta amenaza como Trojan:Win32/CryptoBandits.A, por lo que se recomienda mantener las definiciones de virus al día.