Microsoft alerta sobre un programa malicioso de Windows que roba frases semilla, claves y monederos a través de Tor y unidades USB

Microsoft ha alertado sobre un programa malicioso que ha estado operando silenciosamente desde febrero y que ataca equipos con Windows. Este programa, denominado CryptoBandits, puede robar frases semilla, claves y monederos a través de la red Tor y se puede transferir mediante unidades USB. 

En una publicación del 17 de junio, expertos de Microsoft Threat Intelligence y Microsoft Defender revelaron una campaña maliciosa que ha estado vaciando monederos de criptomonedas sin que las víctimas se den cuenta. Los expertos en seguridad de Microsoft detallaron una combinación de tácticas de gusanos USB tradicionales y herramientas modernas de anonimato que hicieron que el programa malicioso fuera indetectable durante meses.

Según los investigadores, la campaña maliciosa podía ejecutar robo de portapapeles, reemplazo de direcciones de billetera, propagación tipo gusano y comunicación basada en Tor en un solo programa. Además, el programa mantenía el acceso a la máquina local mucho después de la ejecución del código malicioso. 

Microsoft explica cómo se ejecuta la infección

La detallada publicación del blog de Microsoft reveló que la infección comenzó de la forma tradicional, a través de una memoria USB. El malware accedía entonces a los archivos de acceso directo guardados en las unidades extraíbles. Una vez conectado a un equipo, el gusano se activaba inmediatamente. 

El gusano informático busca archivos comunes como documentos, hojas de cálculo y PDF en el dispositivo, oculta los originales y los reemplaza con accesos directos falsos con los mismos nombres. Una vez hecho esto, los usuarios de Windows, sin sospechar nada, hacen clic en los accesos directos, creyendo que están abriendo un archivo típico de Word o Excel, pero en realidad, esta acción activa el malware.

Posteriormente, el malware se propaga a la unidad USB del equipo y configura tareas programadas para mantenerlo en funcionamiento después de un reinicio, y se excluye a sí mismo de los análisis de Microsoft Defender. 

Cuando se activa el programa de edición en la segunda fase, la carga útil basada en scripts se apoya en Windows ScriptHost y objetos ActiveX en lugar de un instalador típico, lo que hace que sea extremadamente difícil de detectar. 

Una vez configurado todo, el malware ejecuta un cliente Tor en una ventana oculta y genera un identificador único de víctima. Se registra en un servidor de comando y control oculto tras una dirección Tor. De esta forma, el malware puede canalizar información a través de ese canal oculto sin ser detectado. 

Microsoft explica por qué este malware es más difícil de detectar

El equipo de seguridad de Microsoft explicó que el malware entra en un bucle, consultando a sus operadores y escaneando el portapapeles aproximadamente cada medio segundo. El programa está diseñado específicamente para reconocer frases semilla BIP39 de 12 o 24 palabras. 

El malware busca Ethereum claves Bitcoin en formato WIF, guarda una copia de seguridad local y la envía al servidor de los atacantes a través de la red Tor. Está diseñado para repetir la misma secuencia de eventos varias veces hasta que el envío sea exitoso. El programa elimina la copia local solo después de un envío exitoso y toma múltiples capturas de pantalla por segundo, lo que permite a los atacantes visualizar el saldo y la actividad de la billetera de la víctima. 

Si aparece una dirección de monedero en el portapapeles, el malware puede sustituirla por una controlada por el atacante antes de que la víctima la pegue. Si se copia una dirección Bitcoin para enviar un pago, la dirección que aparece en el campo de destino podría pertenecer a otra persona.

Microsoft Defender Antivirus ahora identifica la amenaza como Trojan:Win32/CryptoBandits.A, y Defender for Endpoint supervisa comportamientos como procesos JavaScript sospechosos y la exfiltración de datos basada en curl.