Microsoft ha alertado sobre un malware que se propaga a través de memorias USB y que utiliza archivos de acceso directo de Windows para infectar dispositivos. El malware, denominado «clipper», busca direcciones de criptomonedas en el portapapeles y las sustituye por otras direcciones controladas por los atacantes.
Microsoft advierte de un nuevo malware basado en USB dirigido a los usuarios de criptomonedas
ESCRITO POR
COMPARTIR
Puntos clave
- Microsoft Defender ha detectado un nuevo malware para USB que expone las transacciones de bitcoin al robo.
- El script roba frases semilla de 12 o 24 palabras, lo que pone en peligro la seguridad de los monederos de Tron y Monero.
- A continuación, Microsoft insta a los usuarios a bloquear los accesos directos para impedir que el malware se propague a través de unidades extraíbles.
Microsoft alerta sobre un malware de Windows que altera las direcciones de criptomonedas
El equipo responsable de Microsoft Defender, la herramienta de seguridad contra malware y virus integrada en Windows, ha advertido de una nueva amenaza que utiliza accesos directos para infectar dispositivos, principalmente a través de unidades USB.
El malware sustituye los archivos de los dispositivos de almacenamiento extraíbles por accesos directos (archivos .lnk) que desencadenan la infección al ejecutarse, toma medidas para evitar un posible análisis y eliminación por parte del software antivirus y utiliza una comunicación anónima a través de la red Tor para eludir la detección.
Al mismo tiempo, el malware se propaga copiándose a cualquier unidad USB que se inserte en un ordenador infectado. También ejecuta un proceso capaz de realizar diversas tareas, entre ellas modificar las direcciones que los usuarios copian al portapapeles del dispositivo infectado.
El malware, que se ejecuta de forma continua en el dispositivo afectado, escanea la memoria en busca de lo que Microsoft denomina «artefactos financieros de alto valor», detectando frases semilla BIP39 de 12 o 24 palabras en los datos del portapapeles y enviándolas a los atacantes, junto con cinco capturas de pantalla para proporcionar contexto sobre el contenido del monedero y los fondos que contiene.
Además, el «crypto clipper» busca en la memoria, cada 500 milisegundos, direcciones de proyectos de criptomonedas populares, como Bitcoin, Tron y Monero.
Si encuentra alguna, da por hecho que el usuario la está copiando para ejecutar una transacción y la sustituye por una dirección similar, pero que está bajo el control del atacante para hacerse con los fondos enviados por los usuarios desde el dispositivo infectado.
«Esta familia de malware demuestra cómo los ladrones de datos ligeros y basados en scripts pueden tener un impacto desmesurado cuando se combinan con comunicaciones anónimas y tareas en tiempo de ejecución», subrayó el equipo de Microsoft Defender.
Para mitigar las infecciones, el equipo recomienda desactivar la ejecución automática del contenido en todos los soportes extraíbles y bloquear la ejecución de accesos directos desde unidades extraíbles, que se han identificado como los principales vectores de propagación del malware.
Este artículo fue traducido del inglés mediante IA. La versión original en inglés es la fuente autorizada; las traducciones automáticas pueden contener imprecisiones, especialmente en la terminología legal y regulatoria.
