Microsoft advierte que un nuevo malware secuestra el portapapeles de carteras de criptomonedas

Microsoft Threat Intelligence y los expertos de Microsoft Defender informaron el 17 de junio que una nueva variante de malware ha estado infectando dispositivos Windows desde febrero de 2026. La amenaza, una supuesta “clipper” ahora marcada por Microsoft Defender Antivirus como “Trojan: Win32/CryptoBandits.A”, está diseñada para drenar criptomonedas de los usuarios mediante el monitoreo de la actividad del portapapeles. El malware opera observando el portapapeles aproximadamente cada 500 milisegundos y reemplaza silenciosamente las direcciones de las billeteras de criptomonedas por direcciones controladas por el atacante cuando los usuarios copian y pegan detalles de transacciones. Este método de ataque basado en el portapapeles aprovecha la práctica común de copiar direcciones de billetera durante transacciones de criptomonedas, lo que permite a los atacantes redirigir fondos sin el conocimiento de la víctima.

Microsoft Identifica el Método de Distribución del Malware

Según el informe de Microsoft, la campaña comienza con archivos de acceso directo maliciosos (.lnk) distribuidos en unidades de almacenamiento USB. El malware incluye dos componentes: un componente gusano que se propaga y un ladrón que recopila datos de billeteras. El gusano oculta documentos legítimos en un dispositivo USB y los reemplaza con accesos directos disfrazados, de modo que un usuario al abrir lo que parece un archivo familiar en realidad está ejecutando el malware sin darse cuenta.

El malware también busca frases semilla y claves privadas, que son las credenciales que desbloquean billeteras cripto. Para mantener la persistencia, se ejecuta en una ventana oculta, configura tareas programadas y excluye sus propios archivos del escaneo de Defender. El malware comprueba si el Administrador de tareas está abierto y se apaga si lo está, una táctica anti-análisis destinada a evitar que cualquiera que investigue el dispositivo.

CryptoBandits Usa Infraestructura Basada en Tor

Microsoft afirma que CryptoBandits despliega un cliente Tor portátil y enruta el tráfico a través de un proxy local para llegar a un servidor oculto de mando y control. Este diseño le permite combinar el robo de datos con la ejecución remota de código, transformando a un ladrón ávido de dinero en una puerta trasera ligera que puede ejecutar más comandos del atacante. La infraestructura basada en Tor permite al malware mantener canales de comunicación sigilosos sin depender de instaladores tradicionales o servidores expuestos.

FAQ

¿Qué es el malware CryptoBandits que Microsoft descubrió?
CryptoBandits, marcado por Microsoft Defender Antivirus como “Trojan: Win32/CryptoBandits.A”, es una variante de malware que monitorea la actividad del portapapeles aproximadamente cada 500 milisegundos y reemplaza direcciones de billeteras de criptomonedas por direcciones controladas por el atacante. Microsoft Threat Intelligence y los expertos de Microsoft Defender informaron el 17 de junio que ha estado infectando dispositivos Windows desde febrero de 2026.

¿Cómo se propaga el malware CryptoBandits a los dispositivos?
Según el informe de Microsoft, el malware se propaga mediante archivos de acceso directo maliciosos (.lnk) distribuidos en unidades de almacenamiento USB. El componente gusano oculta documentos legítimos en dispositivos USB y los reemplaza con accesos directos disfrazados que lanzan el malware cuando los usuarios abren lo que parece ser un archivo familiar.

¿Qué infraestructura usa CryptoBandits para comunicarse?
Microsoft afirma que CryptoBandits despliega un cliente Tor portátil y enruta el tráfico a través de un proxy local para llegar a un servidor oculto de mando y control. Esta infraestructura basada en Tor permite al malware mantener canales de comunicación sigilosos y ejecutar comandos remotos.