Il problema principale è che ormai i malware (non tutti, ovviamente) riescono a "capire" se sono eseguiti in una macchina virtuale, e quindi possono mutare il loro comportamento (dal fare meno danni, al farli diversi, al non fare niente).
Ergo è quando lo sposti/installi sull'host il problema principale. Diciamo che una sicurezza al 100% non esiste.
In merito alla domanda specifica, il fatto di temere i virus che rubano dati... c'è poco da fare, per avere maggiori sicurezze non dovresti usare software piratato.
Abbiamo già affrontato l'argomento in altri topic, avevo anche linkato questo mio articolo, che riporto nuovamente:
Crack e Keygen: cosa sono e come funzionano?
Sicuramente il fatto di eseguire software non sicuro su una VM ti dà già più sicurezze. Per aumentarle, il programma che andrai ad installare, lo dovresti scansionare prima ancora di eseguirlo sull'host.
Certo. Sicuramente terrei Malwarebytes sulla VM.
Se hai del malware sul PC, cosa dovrebbe fare la VPN? Se lo esegui ed è infetto, la VPN non potrà fare niente.
Per la USB teoricamente varrebbe lo stesso discorso. Dovresti almeno collegarla quando sei ragionevolmente sicuro che non ci sia nulla di infetto sulla VM.
Ecco riprendo anche l'intervento di
@Air_ perchè aggiungo una cosa che non ho detto nel post precedente.
Come ho detto qui sopra ci sono malware che si comportano diversamente; un malware che si propaga sull'host sfrutta solitamente un exploit della VM stessa, e sono cose che solitamente vengono poi fixate con una certa rapidità... quindi tieni aggiornata la VM.
Inoltre, cosa non da meno, una possibile causa di passaggio del malware dal guest all'host è una configurazione errata verso la rete. Dovresti fare in modo che la VM sia isolata e la rete sia su "host only" (dipende da che software usi, dovresti fare una ricerca in rete).
Altra piccola cosa: sulla VM installa anche software di utilità comuni, tipo un browser o 2 (chrome e firefox ad esempio) e anche altri softaware.
In ultimo puoi anche appoggiarti a cose tipo
https://any.run/ per eseguire il programma in una sandbox.