El ladrón de semillas: el malware que roba cripto por USB y se propaga solo

Imaginá que copiás la dirección de una billetera Bitcoin para hacer una transferencia. Dos segundos después pegás sin mirar y apretás enviar. El dinero llega, pero no a donde vos querías: ya estaba en el bolsillo de un atacante antes de que salieras de la pantalla. Eso exactamente hace Trojan:Win32/CryptoBandits.A, el malware que Microsoft documentó esta semana con una característica particularmente incómoda: se propaga solo por USB.

El vector de entrada es tan viejo como la informática pero sigue funcionando porque la gente sigue conectando pendrives sin pensarlo. CryptoBandits llega escondido en archivos .lnk —esos accesos directos de Windows que abrís sin pensarlo— que al ejecutarse instalan el troyano sin levantar sospechas. Basta con que alguien enchufe un USB infectado en una sola máquina para que el proceso empiece, sin ninguna acción adicional del atacante original.

Dos ataques en uno: portapapeles y transacciones

Una vez instalado, el malware trabaja en dos frentes simultáneamente. El primero es clipboard hijacking clásico: monitorea permanentemente el portapapeles buscando frases semilla de 12 o 24 palabras, que son las claves maestras para restaurar billeteras de cripto. Cuando detecta un patrón que coincide, lo captura y lo envía al servidor del atacante.

El segundo frente es más silencioso todavía. Cada vez que copiás una dirección de billetera, CryptoBandits la reemplaza en el portapapeles por una dirección que controla el atacante, antes de que llegués a pegarla. El usuario no ve nada extraño: el texto luce casi igual a primera vista, solo que empezó diferente. Para tener más contexto del entorno comprometido, el malware también toma cinco capturas de pantalla en los primeros 10 segundos de instalación.

Para exfiltrar todo eso sin dejar rastros, CryptoBandits levanta un cliente Tor portable y rutea los datos por localhost:9050 usando un proxy SOCKS5. El tráfico sale por canales cifrados y difícilmente aparezca en logs de red convencionales. Dan Goodin, editor senior de seguridad de Ars Technica, señaló que Microsoft describe la familia como un ejemplo de herramientas livianas que "pueden lograr un impacto desproporcionado cuando se combinan con canales de exfiltración anónimos".

El riesgo no se limita a quienes tienen cripto

Es tentador acotar el riesgo a "gente que tiene Bitcoin". Error. El mecanismo de clipboard hijacking aplica a cualquier texto sensible que alguien copie: claves de API, tokens de autenticación, credenciales de acceso a sistemas, incluso contraseñas copiadas desde un gestor. La arquitectura del ataque es genérica; la cripto es el caso de uso del momento, no el límite del daño posible.

Lo preocupante para entornos corporativos es el vector USB. En empresas donde laptops se comparten, donde se usan pendrives para pasar archivos "porque es más rápido que subir a Drive", o donde hay dispositivos de uso mixto personal y laboral, el riesgo es muy concreto. Y como el malware es autoreplicante, una sola máquina infectada puede propagar el problema al resto del entorno sin ninguna acción adicional del atacante.

Tres medidas prácticas para hoy

• Política de USB: salvo hardware específico como teclados o webcams, ningún dispositivo USB externo debería conectarse a máquinas donde se maneje información sensible. No es paranoia, es higiene básica.

• Verificación visual antes de pegar: si tu equipo transfiere claves, opera con billeteras digitales o hace pagos online, instalá el hábito de siempre comparar el texto copiado con el pegado antes de confirmar cualquier operación. Un segundo de atención anula el ataque completo.

• Antivirus actualizado: Microsoft ya incorporó la firma de Trojan:Win32/CryptoBandits.A en Defender. Si usás otro endpoint de seguridad, verificá que tenga la detección cargada. Si no tenés ningún EDR en tu empresa, es una buena semana para evaluarlo.

Para una PyME que maneja pagos digitales, que opera con proveedores internacionales, o que simplemente tiene empleados que conectan pendrives sin pensarlo dos veces, este tipo de malware es exactamente el escenario que justifica revisar la política de dispositivos externos antes de que el problema aparezca en el extracto bancario.