Por Canuto Microsoft identificó una campaña activa desde febrero de 2026 que usa memorias USB infectadas para instalar un malware capaz de robar frases semilla, claves privadas y direcciones de billeteras en Windows. El programa, llamado CryptoBandits, no solo vacía fondos mediante sustitución silenciosa de direcciones, sino que además se oculta tras la red Tor y puede abrir la puerta a nuevas acciones remotas del atacante.
***
- Microsoft rastreó a CryptoBandits desde febrero de 2026 y lo clasifica como Trojan:Win32/CryptoBandits.A.
- El malware se propaga con archivos .lnk en memorias USB, roba datos del portapapeles y reemplaza direcciones de billetera.
- La amenaza usa Tor para exfiltrar información, toma capturas de pantalla y puede ejecutar código adicional en equipos infectados.
🚨 Alerta de Seguridad 🚨
Microsoft detecta el malware CryptoBandits que roba billeteras cripto a través de USB.
Activa desde febrero de 2026.
Utiliza accesos directos maliciosos para infectar sistemas Windows y sustituir direcciones de billetera sin que la víctima lo note.… pic.twitter.com/4gdfew32wF
— Diario฿itcoin (@DiarioBitcoin) June 19, 2026
Microsoft encendió las alertas sobre un malware para Windows que apunta de forma directa a usuarios de criptomonedas. La amenaza, bautizada como CryptoBandits, ha estado activa desde febrero de 2026 y combina técnicas clásicas de propagación por USB con métodos modernos de ocultamiento y exfiltración de datos.
El programa malicioso fue descrito como un “crypto clipper”, una categoría de malware diseñada para vigilar lo que el usuario copia y pega. En este caso, el objetivo no es solo capturar datos sensibles, sino también reemplazar direcciones de billeteras para desviar fondos sin que la víctima lo note.
De acuerdo con la explicación técnica difundida por Microsoft, la campaña se mueve en equipos Windows mediante archivos de acceso directo maliciosos con extensión .lnk. Una vez ejecutados, esos accesos activan un gusano que instala la carga útil y prepara el sistema para seguir operando incluso después de reinicios.
El riesgo es particularmente sensible para usuarios que gestionan por sí mismos sus fondos en Bitcoin, Ethereum u otros activos. Frases semilla de 12 o 24 palabras, claves privadas y direcciones de recepción pueden quedar expuestas en cuestión de segundos si pasan por el portapapeles del sistema.
Además del robo de datos, CryptoBandits puede actuar como una puerta trasera funcional. Microsoft explicó que el malware también tiene capacidad para ejecutar código proporcionado por los atacantes, lo que amplía el alcance del incidente más allá de una simple sustitución de direcciones.
Cómo comienza la infección y por qué el USB sigue siendo un vector efectivo
La cadena de infección empieza con una memoria USB comprometida que contiene un acceso directo malicioso. Cuando el usuario conecta la unidad y hace clic en ese archivo, el sistema no abre un documento legítimo, sino que lanza el proceso de instalación del malware.
Los archivos .lnk son atajos de Windows que redirigen a programas, carpetas o archivos ubicados en otra parte del sistema. Esa característica, pensada para mejorar la usabilidad, puede ser explotada para ocultar comportamientos maliciosos tras nombres que parecen normales.
Una vez activo, el componente tipo gusano busca documentos comunes dentro de la unidad extraíble. Microsoft indicó que el malware localiza archivos como documentos de texto, hojas de cálculo y PDF, los oculta y luego crea accesos directos falsos con los mismos nombres.
Ese detalle vuelve el engaño muy creíble para usuarios desprevenidos. A simple vista, la memoria parece contener los mismos archivos de siempre, pero al abrirlos se ejecuta la cadena maliciosa que compromete el equipo Windows.
El proceso no se limita a una sola unidad. Cuando una nueva memoria USB limpia se conecta a la computadora infectada, el malware repite la sustitución de documentos por accesos directos maliciosos y sigue extendiéndose de forma similar a un gusano tradicional.
Microsoft también señaló que CryptoBandits establece tareas programadas para garantizar persistencia. Eso significa que puede seguir ejecutándose tras un reinicio y mantener su vigilancia sobre el sistema durante largos períodos.
Otro elemento preocupante es que la amenaza intenta excluirse de los análisis de Microsoft Defender. Esa maniobra dificulta la detección temprana y ayuda a explicar por qué la campaña pudo operar discretamente durante meses antes de ser documentada públicamente.
Qué roba CryptoBandits y cómo desvia transacciones cripto
El corazón del malware es un módulo que monitorea el portapapeles de Windows de forma constante. Según el detalle técnico, el programa revisa esa memoria temporal aproximadamente cada 500 milisegundos en busca de información útil para los atacantes.
El software está diseñado para reconocer frases semilla BIP39 de 12 o 24 palabras. Si detecta una de ellas, la guarda temporalmente y la envía a la infraestructura controlada por el atacante.
La vigilancia también abarca claves privadas de Ethereum y claves privadas de Bitcoin en formato WIF. Ese enfoque convierte al portapapeles en un punto crítico de exposición, sobre todo para usuarios que copian datos sensibles durante respaldos, migraciones o restauraciones de billeteras.
Microsoft explicó que el malware crea una copia local de la información robada y luego intenta transmitirla varias veces hasta que el envío se concreta. Solo después de un envío exitoso elimina esa copia local, lo que muestra un diseño orientado a maximizar la recolección de datos.
El componente más dañino para una operación cotidiana es la sustitución de direcciones de billetera. Si el usuario copia una dirección de destino para enviar fondos, CryptoBandits puede reemplazarla silenciosamente por otra controlada por los atacantes antes del pegado.
Ese tipo de ataque resulta especialmente peligroso porque no siempre deja señales visibles. El usuario cree que está pegando la dirección correcta, pero la transacción puede terminar en la billetera del atacante si no verifica cuidadosamente los caracteres antes de confirmar.
La amenaza no se limita al texto copiado. De acuerdo con los reportes citados, el malware también toma capturas de pantalla de la actividad de la víctima, con el objetivo de ofrecer a los operadores una vista visual del saldo, movimientos y uso de la billetera.
CoinDesk detalló que el gusano puede capturar cinco pantallas con intervalos de diez segundos y enviarlas también a la infraestructura remota. Ese dato complementa la descripción general de Microsoft sobre una vigilancia visual persistente sobre el entorno de la víctima.
El papel de Tor y las razones por las que esta amenaza es difícil de detectar
Una vez instalada la carga útil principal, CryptoBandits evita métodos de instalación más evidentes. En vez de usar un instalador tradicional, se apoya en Windows Script Host y objetos ActiveX, una combinación que puede ayudarle a pasar más desapercibido en algunos entornos.
Después de preparar el sistema, el malware lanza un cliente Tor en una ventana oculta. Luego genera un identificador único para cada víctima y se registra ante un servidor de comando y control ubicado tras una dirección .onion.
El uso de Tor añade una capa de anonimato a la operación. Para los atacantes, eso complica el rastreo de la infraestructura y dificulta el bloqueo inmediato de la exfiltración si no existen reglas de monitoreo específicas sobre este tipo de tráfico.
Microsoft explicó que el programa entra en un ciclo continuo de sondeo hacia sus operadores. Esa comunicación recurrente le permite recibir instrucciones, reenviar datos robados y, en ciertos casos, ejecutar código adicional proporcionado de forma remota.
Esa capacidad cambia la naturaleza del incidente. Lo que comienza como un clipper enfocado en portapapeles puede convertirse en una puerta trasera funcional, con margen para ampliar el daño sobre el equipo afectado o sobre otros dispositivos conectados.
La dificultad de detección también radica en la mezcla de técnicas viejas y nuevas. La propagación por USB recuerda a campañas históricas de malware, mientras que el uso de Tor, scripts y persistencia avanzada acerca la operación a amenazas más sofisticadas.
En términos prácticos, el usuario puede no notar nada fuera de lo común durante semanas. Los archivos siguen pareciendo documentos habituales, el sistema continúa funcionando y el desvío de fondos solo se vuelve visible cuando una transacción llega a una dirección equivocada.
Recomendaciones de defensa para usuarios y equipos de seguridad
Microsoft Defender Antivirus ya detecta esta amenaza bajo el nombre Trojan:Win32/CryptoBandits.A. Además, Defender for Endpoint fue ajustado para vigilar conductas asociadas, como procesos de JavaScript sospechosos y exfiltración de datos basada en curl.
Entre las recomendaciones más directas figura deshabilitar AutoRun en medios extraíbles. Esa medida reduce el riesgo de ejecución automática asociada con dispositivos USB y puede frenar parte de la cadena inicial de infección.
La empresa también sugirió bloquear la ejecución de archivos .lnk desde unidades USB mediante políticas de grupo. Para entornos corporativos, esa práctica puede cortar un vector muy concreto sin necesidad de esperar a que el antivirus detenga cada variante individual.
Otra recomendación consiste en restringir hosts de scripts como wscript.exe y cscript.exe. Dado que la carga útil se apoya en estos componentes, limitar su uso reduce la superficie de ataque disponible para campañas similares.
Microsoft publicó además indicadores de compromiso, incluidos hashes de archivos y dominios .onion empleados como servidores de comando y control. Los equipos de seguridad pueden contrastar esos indicadores contra sus redes para buscar actividad previa o actual ligada a CryptoBandits.
Una señal técnica relevante es la posible presencia de conexiones hacia un proxy local de Tor en el puerto 9050. Si un entorno no utiliza Tor de forma legítima, ese tráfico puede servir como punto de partida para una investigación más profunda.
Para usuarios de criptomonedas, la lección inmediata es evitar copiar frases semilla y claves privadas en dispositivos conectados a Internet salvo que sea estrictamente necesario. También conviene revisar siempre los primeros y últimos caracteres de una dirección antes de confirmar cualquier transferencia.
El caso subraya que la seguridad en cripto no depende solo de la cadena de bloques o de la billetera elegida. Un simple hábito en el sistema operativo, como abrir archivos desde una memoria USB no verificada o pegar una dirección sin comprobarla, puede bastar para perder fondos.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
IA
TeamPCP expone la crisis de confianza del software abierto con más de 1.000 paquetes infectados
Blockchain
Base activa Beryl en testnet con B20, retiros más rápidos y mejoras de escalabilidad
Noticias
Ubuntu endurece reglas y obliga a sus sabores oficiales a publicar betas
China