-
El malware se propaga por memorias USB disfrazado de documentos legítimos.
-
El programa también permite al atacante ejecutar código en el equipo infectado de forma remota.
Desde febrero de 2026, un software malicioso (malware) ha operado robando frases semilla y claves privadas de wallets de criptomonedas además de reemplazar en tiempo real las direcciones copiadas al portapapeles de Windows por direcciones controladas por un hacker, según un reporte publicado por el equipo de Microsoft Threat Intelligence. El malware monitorea el portapapeles del sistema operativo cada 500 milisegundos, aproximadamente dos veces por segundo, en busca de datos financieros de alto valor.
El vector de infección es una memoria USB (pendrive, discos removibles), pero el atacante no necesita entregársela personalmente a la víctima. Basta con que el dispositivo haya pasado por una PC ya comprometida: el malware detecta cada USB que se conecta, oculta los archivos originales y los reemplaza con accesos directos .lnk maliciosos que conservan los mismos nombres e íconos. Cuando ese dispositivo llega a otro equipo y el usuario abre lo que cree que es un PDF o una planilla de cálculo, ejecuta el malware sin saberlo.
Este tipo de propagación por dispositivos removibles es uno de los mecanismos de distribución más extendidos en campañas de malware financiero. Una vez activo en la nueva PC, el programa crea tareas automáticas para garantizar su ejecución en cada reinicio y para infectar, a su vez, cualquier USB que se conecte en el futuro.
El programa malicioso pertenece a la categoría conocida como clipper, o interceptor de portapapeles en castellano. Se trata de un tipo de malware diseñado específicamente para vigilar el portapapeles del sistema operativo y modificar o robar lo que el usuario copia, según explica el informe de los especialistas.
En este caso, el clipper apunta a frases semilla del estándar BIP-39, las secuencias de 12 o 24 palabras que funcionan como respaldo maestro de una wallet; quien las posee tiene control total sobre los fondos asociados, y a claves privadas de Bitcoin y Ethereum, las cadenas alfanuméricas que autorizan cada transacción. Ambos datos, una vez filtrados, permiten al atacante vaciar la wallet sin necesidad de acceder al dispositivo de la víctima.
¿Cómo remplaza las direcciones el malware?
El mecanismo más silencioso del malware es el reemplazo de direcciones. Cuando el usuario copia una dirección de wallet para realizar una transferencia, el clipper la detecta, la borra del portapapeles y la sustituye por una dirección del atacante.
La operación ocurre antes de que el usuario pegue el dato en el campo de destino, por lo que el monto enviado llega a otra wallet sin que haya ninguna alerta visible.
El programa cubre seis tipos de direcciones: Bitcoin Legacy (las que empiezan con «1»), Bitcoin P2SH (con «3»), Bitcoin Taproot (bc1p), Bitcoin Bech32 (bc1q), Tron (con «T») y Monero (con «4» u «8»).
Para cada tipo, el malware genera una dirección de reemplazo que comparte los primeros dos caracteres con la original, o en algunos casos solo el último carácter, lo que reduce las posibilidades de detección si el usuario hace una verificación parcial. La única defensa efectiva contra este mecanismo es comparar la dirección completa, carácter por carácter, entre lo que se copió y lo que aparece en el campo de destino antes de confirmar cualquier transferencia.
Para enviar los datos robados sin ser bloqueado, el malware despliega un cliente Tor portátil (una red anónima que oculta el origen y destino del tráfico) y lo usa para comunicarse con un servidor de comando y control (C2) a través de dominios .onion, accesibles solo dentro de esa red. Microsoft identificó diez dominios .onion distintos utilizados como C2 en esta campaña. Al operar exclusivamente dentro de Tor, el malware evita los bloqueos por IP o dominio que aplican firewalls y proveedores de internet.
Más que un ladrón: puerta trasera con ejecución remota
El C2 también puede enviar al malware un comando llamado EVAL que le ordena ejecutar cualquier código en el equipo infectado. Esto convierte al clipper en una puerta trasera completa, ya que el atacante no solo extrae datos financieros, sino que puede instalar programas adicionales, modificar archivos o tomar control del sistema de forma remota sin ninguna acción adicional del usuario. Según el análisis del equipo de Microsoft, esa capacidad estaba activa en las muestras analizadas.
Para aumentar su visibilidad sobre la víctima, el malware toma cinco capturas de pantalla con diez segundos de separación entre cada una y las sube al C2 a través de Tor. El propósito, según Microsoft, es que el atacante pueda ver el estado de la wallet de la víctima: saldos, aplicaciones abiertas y contexto de uso. Las capturas se eliminan del sistema local una vez que la transmisión es confirmada por el servidor.
El reporte no informa cuántas víctimas registró la campaña, qué volumen de fondos fue robado ni en qué regiones se distribuyeron las USB infectadas.
¿Cómo evitar ser víctima?
Finalmente, las recomendaciones del reporte, traducidas a uso cotidiano, apuntan a cuatro hábitos:
- El primero es no ejecutar ningún archivo proveniente de una memoria USB desconocida o no solicitada, independientemente de la extensión o el ícono que muestre.
- El segundo, y más crítico dado el mecanismo central del malware, es verificar la dirección de destino completa antes de confirmar cualquier transferencia de criptomonedas.
- El tercero es desactivar la ejecución automática de dispositivos removibles en Windows, una configuración que el sistema no tiene habilitada por defecto en versiones recientes.
- El cuarto es mantener el antivirus actualizado, lo que permite detectar en tiempo real este tipo de amenazas.
El malware convierte una acción rutinaria, copiar y pegar una dirección de wallet, en un punto de falla invisible para el usuario promedio. La detección por software es posible, pero llega después del reemplazo: cuando el antivirus actúa, la transferencia ya puede haberse enviado.
Campañas como esta ilustran que la seguridad en el manejo de criptomonedas sigue dependiendo más del comportamiento que de las herramientas. El vector inicial no requiere que alguien le entregue intencionalmente un dispositivo infectado: basta con conectar una USB que haya pasado por un equipo comprometido para que el ciclo se repita. El robo, en cambio, ocurre en una capa que el usuario no monitorea, el portapapeles, y puede completarse antes de que cualquier antivirus tenga oportunidad de intervenir.
