Microsoft advierte que el malware en USB roba frases semilla de criptomonedas y reemplaza direcciones de las carteras

Microsoft Defender advirtió el 17 de junio sobre un nuevo malware basado en USB que se dirige a usuarios de criptomonedas al robar frases semilla y reemplazar direcciones de billeteras. El malware se propaga a través de unidades USB usando archivos de acceso directo y utiliza comunicación impulsada por Tor para evitar la detección. Microsoft indicó que la amenaza roba frases semilla BIP39 de 12 o 24 palabras y escanea direcciones de bitcoin, tron y monero cada 500 milisegundos para redirigir las transacciones a billeteras controladas por el atacante.

El malware reemplaza direcciones cripto y roba frases semilla mediante accesos directos USB

El equipo de Microsoft Defender advirtió en una publicación de blog del 17 de junio que el malware reemplaza archivos en dispositivos de almacenamiento de medios extraíbles con accesos directos (.lnk) que activan la infección cuando se ejecutan. El malware toma contramedidas contra el escaneo y la eliminación mediante software antivirus y utiliza comunicación anónima impulsada por Tor para evitar la detección.

El malware se propaga copiándose a cualquier unidad USB que se inserte en un equipo infectado. Ejecuta un proceso que puede realizar varias tareas, incluido cambiar las direcciones copiadas por los usuarios en el portapapeles del dispositivo infectado.

El malware se ejecuta continuamente en los dispositivos afectados y escanea la memoria en busca de lo que Microsoft llama “artefactos financieros de alto valor”. Detecta frases semilla BIP39 de 12 o 24 palabras en los datos del portapapeles y las envía a los atacantes, junto con cinco capturas de pantalla para dar contexto sobre el contenido de la billetera y los fondos.

El “crypto clipper” escanea direcciones de bitcoin, tron y monero en la memoria cada 500 milisegundos. Si encuentra alguna, asume que el usuario está copiando la dirección para ejecutar una transacción y la cambia por una dirección similar bajo el control del atacante para apoderarse de los fondos enviados por los usuarios en el dispositivo infectado.

“Esta familia de malware muestra cómo ladrones ligeros basados en scripts pueden tener un impacto desproporcionado cuando se combinan con comunicaciones anonimizada y tareas en tiempo de ejecución”, afirmó el equipo de Microsoft Defender.

Microsoft recomienda desactivar Autorun y bloquear accesos directos desde unidades extraíbles

Para mitigar las infecciones, el equipo de Microsoft Defender recomienda desactivar autorun para el contenido en todos los medios extraíbles y bloquear la ejecución de accesos directos desde unidades extraíbles, que se han identificado como los principales vectores de propagación del malware.

Preguntas frecuentes

¿De qué advirtió Microsoft Defender el 17 de junio? Microsoft Defender advirtió sobre un nuevo malware basado en USB que roba frases semilla BIP39 de 12 o 24 palabras y reemplaza direcciones de billeteras de criptomonedas para bitcoin, tron y monero con el fin de redirigir transacciones a billeteras controladas por el atacante.

¿Cómo se propaga el malware a otros dispositivos? El malware reemplaza archivos en dispositivos de almacenamiento de medios extraíbles con archivos de acceso directo (.lnk) que activan la infección cuando se ejecutan, y se copia a cualquier unidad USB que se inserte en un equipo infectado.

¿Qué pasos de mitigación recomendó Microsoft? Microsoft recomienda desactivar autorun para el contenido en todos los medios extraíbles y bloquear la ejecución de accesos directos desde unidades extraíbles, que son los principales vectores de propagación del malware.