Microsoft advierte a los usuarios de Windows sobre el malware CryptoBandits Clipper

La inteligencia de amenazas de Microsoft ha detallado una campaña de malware de Windows rastreada como Trojan:Win32/CryptoBandits.A, que describe un “cliper” que se propaga a través de unidades extraíbles, monitorea la actividad del portapapeles y sustituye direcciones de criptomonedas antes de que las víctimas envíen fondos. El malware ataca uno de los hábitos más comunes en cripto: copiar y pegar direcciones de billeteras, reemplazando las direcciones legítimas de destino por otras controladas por el atacante. Esta campaña representa un método de robo específico de cripto que explota la confianza en las unidades USB y los flujos de trabajo rutinarios de transacciones.

El malware CryptoBandits monitorea el portapapeles y sustituye direcciones cripto

El malware observa el portapapeles y reemplaza las direcciones de billetera copiadas por direcciones controladas por el atacante. El informe de Microsoft indica que la campaña CryptoBandits usa monitoreo de portapapeles de alta frecuencia y también puede buscar material cripto sensible como claves privadas o frases semilla. Los usuarios copian una dirección de destino legítima, pero el malware la intercepta y la sustituye antes de que la víctima la pegue en una transacción. Las transferencias en blockchain son difíciles o imposibles de revertir, y las víctimas pueden darse cuenta de lo ocurrido solo después de revisar el registro de la transacción.

El malware se propaga por unidades USB usando accesos directos maliciosos

Microsoft afirma que el malware puede propagarse por unidades extraíbles ocultando documentos reales y reemplazándolos por archivos de acceso directo maliciosos que usan nombres de documentos familiares. Un usuario abre lo que parece un PDF, una hoja de cálculo o un documento normal desde una unidad USB, pero el acceso directo ejecuta código malicioso en su lugar. La campaña también utiliza infraestructura de Tor para el tráfico de mando y control, según Microsoft. Al enrutar la comunicación a través de servicios ocultos, los atacantes pueden hacer que el malware sea más difícil de desactivar y más complicado para que las defensas tradicionales de red lo inspeccionen.

Microsoft recomienda verificar la dirección antes de enviar fondos

La guía de Microsoft incluye revisar los caracteres iniciales y finales de la dirección de destino antes de enviar fondos. Para transferencias más grandes, los usuarios deberían usar una billetera de hardware o una pantalla de billetera que muestre la dirección de forma independiente del ordenador infectado. Los usuarios también deben evitar abrir archivos desde unidades USB desconocidas, mantener actualizadas las herramientas de seguridad de Windows y tratar los accesos directos en almacenamiento extraíble con sospecha. Si una unidad muestra de repente archivos familiares como enlaces de accesos directos, es una señal de alerta. Esta campaña está enfocada en Windows y se dirige a usuarios de cripto que dependen de flujos de trabajo de copiar-pegar para direcciones de transacciones.

FAQ

¿Qué hace el malware CryptoBandits con las direcciones de billeteras cripto?

El malware monitorea la actividad del portapapeles y reemplaza las direcciones de billeteras de criptomonedas copiadas por direcciones controladas por el atacante antes de que las víctimas las peguen en transacciones. Microsoft afirma que usa monitoreo de portapapeles de alta frecuencia y también puede buscar claves privadas o frases semilla.

¿Cómo se propaga CryptoBandits a otras computadoras?

Microsoft informa que el malware se propaga por unidades USB extraíbles ocultando documentos reales y reemplazándolos por archivos de acceso directo maliciosos que usan nombres de documentos familiares. Cuando un usuario abre lo que parece ser un archivo normal desde una unidad USB, el acceso directo ejecuta código malicioso en su lugar.