Microsoft ha detallado una nueva campaña de malware basada en Windows, denominada CryptoBandits, que ha estado activa desde febrero de 2026. Este malware tipo “clipper” tiene como objetivo robar criptomonedas y datos sensibles del portapapeles, afectando a usuarios a través de la propagación mediante unidades USB y el uso de la red de anonimato Tor para ocultar sus comunicaciones de comando y control (C2).
El modus operandi de CryptoBandits inicia con la distribución de un archivo de acceso directo (LNK) malicioso en dispositivos de almacenamiento USB. Al abrir este archivo, se desencadena un componente de gusano que verifica si la máquina ya está infectada. En caso contrario, procede a descargar el payload principal, un software clipper. Este clipper monitorea silenciosamente el portapapeles del usuario, interceptando y sustituyendo cadenas de direcciones de billeteras de criptomonedas conocidas por las controladas por los atacantes, redirigiendo así las transacciones. También es capaz de exfiltrar capturas de pantalla y ejecutar código remoto.
A diferencia de ataques que dependen de instaladores tradicionales o infraestructuras C2 basadas en IP expuestas, CryptoBandits es notable por desplegar un cliente Tor portátil, enrutando el tráfico a través de un proxy local. El gusano, además de garantizar la propagación a otras unidades USB no comprometidas, instala tareas programadas para asegurar su persistencia y la del componente de robo de datos. El clipper utiliza Windows Script Host (WScript) y objetos ActiveX para interactuar con el sistema operativo, y evade la detección finalizando su ejecución si el Administrador de Tareas se encuentra entre los procesos activos. Una vez registrado con el servidor C2, el malware entra en un ciclo continuo de monitoreo del portapapeles cada 500 milisegundos para extraer frases semilla y claves privadas.
Microsoft recomienda a los defensores priorizar las detecciones basadas en el comportamiento sobre las firmas estáticas, prestando especial atención a la captura de pantalla mediante PowerShell y al uso de WScript, CScript u otros motores de scripts para ejecutar comandos o ejecutables inesperados. Las mitigaciones incluyen deshabilitar AutoRun/AutoPlay para todos los medios extraíbles, bloquear la ejecución de archivos LNK desde unidades extraíbles a través de Objetos de Política de Grupo (GPOs), restringir el uso innecesario de wscript.exe o cscript.exe, y revisar los comportamientos relacionados con el portapapeles y la captura de pantalla en dispositivos que manejan flujos financieros sensibles.
Qué significa para tu empresa: Este ataque subraya la importancia crítica de contar con una defensa en profundidad que aborde múltiples vectores de amenaza. La capacidad de un malware para propagarse autónomamente por USB, eludir la detección y operar a través de redes anónimas, requiere soluciones avanzadas. Para protegerse contra este tipo de amenazas persistentes y evasivas, es fundamental implementar una protección de endpoints EDR/XDR robusta que detecte y responda a actividades maliciosas en tiempo real, incluso aquellas que abusan de funciones legítimas del sistema operativo.
Fuente original: The Hacker News — ver artículo →