De secuestro de billeteras a control remoto: Microsoft revela una nueva ola de malware cripto dirigido a usuarios de Windows | Metaverse Post

En Resumen

Microsoft descubre una campaña de malware de clipper de criptomonedas en Windows que utiliza infraestructura basada en Tor para robar credenciales de billeteras, secuestrar transacciones y mantener acceso remoto.

La empresa tecnológica Microsoft ha informado del descubrimiento de una campaña de malware de clipper de criptomonedas basada en Windows que ha estado atacando a usuarios desde febrero de 2026. La amenaza, identificada por Microsoft Threat Intelligence y Microsoft Defender Experts, combina robo de portapapeles, focalización en billeteras de criptomonedas y capacidades de acceso remoto para robar activos digitales y mantener el control sobre sistemas comprometidos.

El malware está diseñado para interceptar información sensible relacionada con criptomonedas, incluyendo direcciones de billeteras, frases semilla y claves privadas. Microsoft dijo que la amenaza se propaga principalmente a través de archivos de acceso directo maliciosos (.lnk) distribuidos mediante unidades USB extraíbles. Una vez activado, el malware despliega componentes adicionales que permiten persistencia, recopilación de datos y comunicación con infraestructura controlada por atacantes.

A diferencia de campañas tradicionales de malware que dependen de servidores visibles de comando y control, esta campaña usa un proxy Tor integrado para ocultar la actividad de red. El malware lanza un cliente Tor portátil mediante Windows Script Host y scripts basados en ActiveX, enrutando las comunicaciones a través de un proxy SOCKS5 local antes de conectarse a servidores de servicios ocultos. Este enfoque reduce la visibilidad y permite a los atacantes mantener acceso anónimo a los dispositivos infectados.

El ataque combina dos funciones principales: un componente de propagación que se difunde mediante archivos infectados y medios extraíbles, y un componente de clipper-robador enfocado en el robo de criptomonedas. El malware puede crear accesos directos maliciosos que parecen hacer referencia a documentos legítimos, haciendo que los usuarios ejecuten código dañino sin saberlo. También crea tareas programadas para mantener la persistencia y continuar operando tras reinicios del sistema.

Una Nueva Generación de Infraestructura para Robo de Criptomonedas

El malware demuestra un cambio hacia amenazas ligeras basadas en scripts que combinan robo financiero con capacidades de puerta trasera más amplias. Tras la infección, el malware monitorea continuamente la actividad del portapapeles, buscando datos relacionados con criptomonedas. Cuando los usuarios copian direcciones de billeteras, el malware puede reemplazarlas por direcciones controladas por los atacantes, redirigiendo transacciones sin que la víctima lo note inmediatamente.

La amenaza también busca claves privadas relacionadas con Bitcoin y Ethereum y frases semilla BIP39, que se usan comúnmente para recuperar billeteras de criptomonedas. La información capturada se transmite a los atacantes a través de canales basados en Tor, mientras que se recopilan capturas de pantalla para proporcionar contexto adicional sobre la actividad de la billetera y los saldos de las cuentas.

Microsoft destacó que el malware incluye capacidades de ejecución remota de comandos, permitiendo a los atacantes enviar instrucciones y ejecutar código adicional en sistemas infectados. Esto amplía la amenaza más allá de un simple clipper de criptomonedas, convirtiéndolo en una herramienta flexible capaz de soportar actividades maliciosas adicionales.

Los investigadores de seguridad señalaron que la campaña depende en gran medida de indicadores de comportamiento en lugar de detección basada en archivos tradicionales. La actividad sospechosa incluye motores de scripts lanzando procesos inesperados, manipulación de direcciones de criptomonedas, captura de pantalla mediante PowerShell y conexiones inusuales a proxies Tor a través del puerto localhost 9050.

Microsoft Defender Antivirus detecta componentes relacionados de la familia de malware bajo la designación Trojan:Win32/CryptoBandits.A, mientras que Microsoft Defender para Endpoint proporciona detecciones adicionales basadas en comportamiento para actividades de scripting sospechosas, intentos de exfiltración de datos y ejecución anormal de procesos.

Microsoft aconsejó a las organizaciones fortalecer las defensas contra amenazas de medios extraíbles, restringir la ejecución innecesaria de scripts, monitorear actividades sospechosas en proxies y aplicar controles de seguridad contra scripts ofuscados. La compañía también recomendó revisar el comportamiento de monitoreo del portapapeles e investigar sistemas donde las herramientas de scripting interactúan con utilidades de comunicación en red.

El descubrimiento resalta la creciente sofisticación del malware enfocado en criptomonedas, con atacantes que combinan cada vez más técnicas automatizadas de robo de billeteras, sistemas de comunicación anónimos y mecanismos de acceso persistente. A medida que los activos digitales continúan integrándose más en la actividad financiera, se espera que los equipos de seguridad pongan mayor énfasis en proteger las credenciales de las billeteras y en monitorear comportamientos asociados con amenazas dirigidas a criptomonedas.