Microsoft reveló que un nuevo malware transmitido por USB, denominado Trojan:Win32/CryptoBandits, ha estado robando credenciales de billeteras de criptomonedas de PC con Windows desde febrero.
Vector de infección y ejecución
El ataque comienza cuando una unidad USB comprometida contiene un archivo de acceso directo malicioso con una extensión .lnk. Cuando un usuario abre el acceso directo, el gusano ingresa al sistema e inmediatamente activa dos funciones paralelas: un módulo de robo de billetera y un detector que espera cualquier dispositivo USB limpio adicional.
Recolección y filtración de datos
El componente de robo de billetera sondea el portapapeles de Windows aproximadamente cada 500 milisegundos, capturando frases iniciales o claves privadas para Bitcoin, Ethereum u otros activos de blockchain. Los datos capturados se enrutan a través de la red Tor hasta el servidor del atacante, mientras que el malware también registra cinco capturas de pantalla en intervalos de diez segundos.
Manipulación y riesgo de transacciones
Si una víctima copia la dirección de un destinatario, el gusano la sobrescribe silenciosamente con una dirección controlada por el atacante antes de la operación de pegado, desviando fondos sin el conocimiento del usuario. Este comportamiento amplía la superficie de amenazas para los inversores en criptomonedas y subraya la necesidad de una mayor higiene del USB y prácticas de billetera fuera de línea.