Microsoft ha advertido que los atacantes están utilizando archivos maliciosos de acceso directo de Windows en unidades USB para difundir un cortapelos de criptomonedas que puede robar datos de billetera y redirigir transacciones. La campaña afecta a los usuarios desde febrero de 2026, segúnExpertos en inteligencia de amenazas de Microsoft y Microsoft Defender.
El malware se propaga cuando un usuario abre un archivo .lnk armado que parece un documento normal en una unidad extraíble. Una vez iniciado, instala componentes de gusanos y ladrones, crea persistencia a través de tareas programadas y monitorea el portapapeles en busca de datos de criptomonedas.
El mayor riesgo es el reemplazo de la dirección de la billetera. Si una víctima copia una dirección de criptomoneda antes de enviar fondos, el cortapelos puede reemplazarla silenciosamente con una dirección controlada por el atacante, lo que hace que la transferencia vaya a la billetera equivocada.
El malware se propaga a través de archivos de acceso directo USB
La cadena de infección comienza con archivos de acceso directo maliciosos almacenados en dispositivos USB. Microsoft dijo que el gusano escanea medios extraíbles en busca de tipos de documentos comunes como .doc, .xlsx y .pdf, oculta los archivos originales y crea archivos de acceso directo con los mismos nombres.
Eso hace que el ataque le resulte familiar a la víctima. Creen que están abriendo un documento, pero el acceso directo ejecuta el malware en segundo plano.
La técnica se alinea conReplicación de MITRE ATT&CK a través de medios extraíbles, donde los atacantes utilizan unidades extraíbles para propagar malware entre sistemas que pueden no compartir la misma red.
| Etapa de ataque | Lo que sucede | señal del defensor |
|---|---|---|
| Acceso inicial | El usuario abre un archivo .lnk malicioso desde una unidad USB | Ejecución de accesos directos desde medios extraíbles |
| Propagación | Los documentos originales se ocultan y se reemplazan con atajos similares. | Archivos ocultos y nuevos archivos .lnk con nombres de documentos |
| Persistencia | Las tareas programadas ejecutan componentes de gusanos y ladrones | Actividad inusual de schtasks.exe |
| Robo | Se recopilan datos del portapapeles, valores de billetera, frases iniciales y capturas de pantalla. | Monitoreo del portapapeles y captura de pantalla de PowerShell |
| Comando y control | El tráfico se enruta a través de Tor y un proxy SOCKS5 local. | localhost:9050 y tráfico curl a servicios .onion |
El robo de portapapeles apunta a billeteras criptográficas y frases iniciales
El componente ladrón comprueba el portapapeles aproximadamente cada 500 milisegundos. Busca direcciones de billetera, frases iniciales BIP39, claves privadas y otras cadenas relacionadas con criptomonedas.
Este comportamiento coincideDatos del portapapeles MITRE ATT&CK, una técnica de recopilación en la que el malware lee el contenido del portapapeles para capturar información confidencial copiada por el usuario.
Microsoft dijo que el malware puede detectar frases iniciales BIP39 de 12 y 24 palabras. Puede guardar la semilla localmente como copia de seguridad, enviarla al atacante a través de Tor y eliminar la copia de seguridad después de una transmisión exitosa.
Tor hace que el malware sea más difícil de rastrear
La campaña no depende de un servidor de comando y control expuesto normal. En su lugar, inicia un cliente Tor portátil renombrado ugate.exe y enruta el tráfico a través de un proxy SOCKS5 local en localhost:9050.
Esto permite que el malware se comunique con dominios .onion de servicios ocultos. El diseño hace que el simple bloqueo de IP o dominio sea menos efectivo porque el destino real se encuentra detrás de Tor.
El comportamiento de comando y control se asigna aProxy MITRE ATT&CK, que cubre el uso por parte de atacantes de sistemas intermedios o servicios proxy para ocultar rutas de comunicación.
El cortapelos también se comporta como una puerta trasera ligera.
El malware hace más que intercambiar direcciones de billetera. Microsoft dijo que puede sondear su servidor de servicios ocultos en busca de instrucciones y ejecutar código proporcionado por el atacante en tiempo de ejecución a través de una respuesta EVAL.
También realiza cinco capturas de pantalla en intervalos de diez segundos y las carga a través de Tor. Esto le brinda al operador un contexto visual sobre lo que está haciendo la víctima, incluido si el software de billetera, las cuentas de intercambio o los documentos confidenciales están abiertos.
Antes de ejecutarse por completo, el malware busca el Administrador de tareas. Si se detecta el Administrador de tareas, se cierra, lo que dificulta la inspección manual informal.
- La carga útil utiliza Windows Script Host y lógica basada en ActiveX.
- Coloca archivos JavaScript maliciosos en C:\Users\Public\Documents.
- Utiliza nombres aleatorios de carpetas y scripts de cinco caracteres.
- Crea tareas programadas para la persistencia.
- Lanza ugate.exe como un proceso Tor oculto.
- Enruta el tráfico curl a través de localhost:9050.
Por qué los ataques USB seguirán funcionando en 2026
El malware USB sigue siendo eficaz porque muchos usuarios confían en los archivos de las unidades que utilizan en el trabajo, la escuela, los talleres de reparación, los quioscos compartidos o las estaciones de impresión públicas. El malware de acceso directo abusa de esa confianza al hacer que un iniciador malicioso parezca un archivo normal.
La campaña también muestra cómo las vías de infección más antiguas pueden volverse más peligrosas cuando se combinan con métodos de robo modernos. Un simple archivo .lnk ahora conduce a comando y control basado en Tor, monitoreo del portapapeles, robo de capturas de pantalla y ejecución remota de código.
Microsoft Defender Antivirus detecta esta campaña como Trojan:Win32/CryptoBandits.A, Trojan:Win32/CryptoBandits.B, Trojan:JS/CryptoBandits.A y Trojan:JS/CryptoBandits.B, según elinforme de seguridad de microsoft.
Indicadores que los defensores deben monitorear
Los equipos de seguridad deberían utilizar indicadores junto con la detección basada en el comportamiento. Los hashes de archivos y los dominios .onion pueden cambiar, pero el comportamiento de los accesos directos USB de la campaña, las tareas programadas, el uso del proxy Tor y el monitoreo del portapapeles brindan señales de búsqueda más fuertes.
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA-256 | 7630debd35cac6b7d58c4427695579b3e3a8b1cc462f523234cd6c698882a68c | Muestra del gusano Crypto Clipper |
| SHA-256 | a7abf1d9d6686af1cefcd60b17a312e7eb8cfe267def1ec34aeab6128c811630 | Muestra del gusano Crypto Clipper |
| SHA-256 | 23c1e673f315dafa14b73034a90dd3d393a984451ff6601b8be8142be6487b43 | Muestra del gusano Crypto Clipper |
| Nombre del archivo | ugate.exe | Binario Tor portátil utilizado por el malware |
| Red | servidor local: 9050 | Proxy SOCKS5 local utilizado para el tráfico enrutado por Tor |
| Dominio | cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]cebolla | Dominio C2 de servicio oculto |
| Dominio | gfoqsewps57xcyxoedle2gd53o6jne6y5nq5eh25muksqwzutzq7b3ad[.]cebolla | Dominio C2 de servicio oculto |
| Dominio | facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd[.]cebolla | Dominio C2 de servicio oculto |
Cómo las organizaciones pueden reducir la exposición
Los administradores deben bloquear la ejecución de .lnk desde unidades extraíbles siempre que sea posible. También deberían desactivar la ejecución automática y la reproducción automática para medios extraíbles, especialmente en sistemas utilizados por equipos financieros, comerciantes de criptomonedas, desarrolladores y empleados que manejan billeteras sensibles.
Las restricciones del intérprete de guiones también pueden ayudar. Cuando los flujos de trabajo empresariales no los necesiten, las organizaciones deben limitar o monitorear wscript.exe, cscript.exe, el comportamiento de las capturas de pantalla de PowerShell, la ejecución sospechosa de curl y la creación de tareas programadas a partir de rutas de acceso editables por el usuario.
Dado que el malware utiliza medios extraíbles, los defensores también deberían buscarreplicación de medios extraíblespatrones, incluidos archivos de documentos ocultos y creación repentina de archivos de acceso directo en dispositivos USB.
- Desactive la ejecución automática y la reproducción automática para medios extraíbles.
- Bloquee la ejecución de .lnk desde unidades USB a través de la Política de grupo.
- Escanee unidades extraíbles antes de abrir archivos.
- Muestra archivos ocultos y extensiones de archivos en el Explorador de archivos.
- Supervise la creación de tareas programadas desde C:\Users\Public\Documents.
- Alerta sobre tráfico curl usando –socks5-hostname y localhost:9050.
- Restrinja Windows Script Host donde no sea necesario.
- Revise los puntos finales que manejan transacciones de criptomonedas para detectar la actividad del portapapeles y las capturas de pantalla.
Los usuarios de criptomonedas deben verificar cada dirección de billetera
Los usuarios que envían criptomonedas deben verificar la dirección de destino completa antes de confirmar cualquier transferencia. Comprobar sólo los primeros o los últimos caracteres puede no ser suficiente si los atacantes utilizan direcciones de reemplazo similares.
Las billeteras de hardware y las aplicaciones de billetera que muestran el destino final en una pantalla confiable reducen este riesgo, pero los usuarios aún deben confirmar la dirección cuidadosamente. Los flujos de trabajo basados en el portapapeles siguen siendo riesgosos en cualquier dispositivo que pueda haber tocado una unidad USB desconocida.
Cualquiera que haya abierto archivos de acceso directo sospechosos y luego haya usado una billetera criptográfica debe tratar el dispositivo como potencialmente comprometido. Deben mover fondos desde un dispositivo limpio, rotar las credenciales expuestas y evitar copiar frases iniciales o claves privadas en la máquina afectada.
¿Qué deberían cazar los defensores por ahora?
Los defensores deben buscar la ejecución de accesos directos desde unidades extraíbles, nuevos archivos ocultos en medios USB y carpetas aleatorias de cinco caracteres en C:\Users\Public\Documents. Estas pistas pueden revelar tanto el componente del gusano como la carga útil del ladrón.
También deberían investigar el acceso al portapapeles en torno a la actividad de la billetera, especialmente en máquinas utilizadas para flujos de trabajo financieros. El robo del portapapeles y la colección de frases iniciales del malware se asignan directamente arobo de datos del portapapeles.
Los equipos de red deberían buscar comportamientos de proxy enrutados por Tor. Conexiones a travéscomando y control basado en proxy, los comandos curl que usan el nombre de host calcetines5 y los procesos Tor ocultos llamados ugate.exe deberían activar la revisión.
Preguntas frecuentes
¿Qué es la campaña de malware USB Crypto Clipper?
Es una campaña de malware para Windows rastreada por Microsoft que se propaga a través de archivos de acceso directo .lnk maliciosos en unidades USB. El malware instala un gusano y un componente clipper que monitorea el portapapeles, roba datos de billetera, reemplaza direcciones de criptomonedas y se comunica a través de Tor.
¿Cómo se propaga el malware a través de unidades USB?
El gusano escanea los medios extraíbles en busca de archivos de documentos comunes, oculta los originales y crea archivos de acceso directo maliciosos con los mismos nombres. Cuando otro usuario abre uno de esos accesos directos, el malware se ejecuta en ese dispositivo y repite el proceso.
¿Cómo roba fondos el cripto clipper?
El cortapelos monitorea el portapapeles en busca de direcciones de billetera, frases iniciales y claves privadas. Cuando detecta una dirección de criptomoneda copiada, puede reemplazarla con una dirección controlada por el atacante antes de que la víctima envíe fondos.
¿Por qué el malware usa Tor?
El malware inicia un cliente Tor portátil llamado ugate.exe y enruta el tráfico de comando y control a través de un proxy SOCKS5 local en localhost:9050. Esto oculta la infraestructura del atacante detrás de los servicios .onion y hace que el simple bloqueo de IP sea menos efectivo.
¿Cómo pueden los usuarios protegerse del malware de acceso directo a USB?
Los usuarios deben evitar abrir archivos desde unidades USB desconocidas, habilitar extensiones de archivos, escanear medios extraíbles, deshabilitar la ejecución automática y la reproducción automática, verificar cada dirección de criptomonedas antes de enviar fondos y nunca copiar frases iniciales o claves privadas en un dispositivo que pueda estar infectado.