Campaña de ataque Crypto Clipper a Windows
Investigadores de seguridad han revelado detalles de una sofisticada operación de robo de criptomonedas basada en Windows que ha estado activa desde febrero de 2026. La campaña emplea malware de monitorización del portapapeles capaz de autopropagarse y aprovecha la red de anonimato Tor para ocultar su infraestructura de comunicaciones.
A diferencia de las operaciones de malware convencionales que se basan en instaladores estándar o servidores de comando y control (C2) expuestos públicamente, esta amenaza implementa un cliente Tor portátil y enruta todo el tráfico a través de un proxy SOCKS5 local. Al combinar el robo de criptomonedas, la exfiltración de datos y la ejecución remota de código, el malware funciona no solo como un dispositivo de extracción de datos, sino también como una puerta trasera ligera.
Tabla de contenido
Cómo funciona el malware Clipper
El malware Clipper está diseñado para monitorear silenciosamente la actividad del portapapeles de la víctima e interceptar información confidencial copiada en la memoria. Su objetivo principal es manipular transacciones de criptomonedas identificando direcciones de billetera asociadas con formatos de blockchain conocidos y reemplazándolas con alternativas controladas por el atacante. Como resultado, los fondos destinados a destinatarios legítimos pueden ser redirigidos sin el conocimiento de la víctima.
Esta campaña se basa en Windows Script Host y en la funcionalidad ActiveX para lanzar un proxy Tor integrado y comunicarse con un servidor C2 oculto. El malware realiza una vigilancia continua del portapapeles, captura capturas de pantalla, roba información relacionada con criptomonedas y sustituye direcciones de monederos en tiempo real.
Cadena de infección basada en USB y funcionalidad de gusano
El ataque comienza con la distribución de archivos LNK (Accesos Directos de Windows) maliciosos a través de dispositivos de almacenamiento USB extraíbles. Cuando la víctima abre uno de estos accesos directos, se activa un gusano informático. El malware primero verifica si el sistema ya está infectado y descarga el resto del código malicioso solo si no se detecta ninguna infección previa.
El malware LNK busca activamente en los dispositivos USB conectados formatos de documentos comunes, como DOC, XLSX y PDF. Una vez detectados, estos archivos se ocultan y se reemplazan por accesos directos maliciosos con nombres idénticos. Esta técnica engañosa aumenta la probabilidad de que los usuarios ejecuten el malware sin saberlo al intentar abrir un documento aparentemente legítimo.
Más allá del compromiso inicial, el gusano es responsable de propagar la infección a otros dispositivos USB no infectados. Además, logra persistencia mediante la creación de tareas programadas tanto para el gusano como para los componentes maliciosos.
Evasión avanzada y ejecución persistente de comandos
El componente Clipper utiliza WScript y ActiveXObject para interactuar directamente con el sistema operativo. Para reducir la probabilidad de detección, el malware comprueba los procesos activos y se cierra si el Administrador de tareas está en ejecución.
Durante la fase final de ejecución, se inicia un binario de Tor renombrado en una ventana oculta. El malware genera un identificador único de víctima y lo registra en su infraestructura remota. Tras el registro, entra en un bucle operativo continuo, consultando al servidor C2 en busca de comandos y monitorizando el contenido del portapapeles aproximadamente cada 500 milisegundos.
Además de recopilar datos de monederos de criptomonedas, frases semilla y claves privadas, el malware captura capturas de pantalla y las transfiere a través de la red Tor. Si el servidor C2 responde con un comando EVAL, el código proporcionado por el atacante se ejecuta dinámicamente en el sistema comprometido, lo que amplía significativamente las capacidades de la amenaza.
Indicadores clave y recomendaciones defensivas
Se recomienda a los equipos de seguridad centrarse en técnicas de detección de comportamiento en lugar de depender únicamente de firmas de malware estáticas. Se debe prestar especial atención a la actividad sospechosa de captura de pantalla basada en PowerShell y al uso inusual de motores de scripting de Windows, como WScript o CScript, para ejecutar utilidades como curl, cmd.exe, PowerShell u otros ejecutables inesperados.
Las medidas defensivas recomendadas incluyen:
- Deshabilitar la funcionalidad de AutoRun y AutoPlay para todos los medios extraíbles, bloquear la ejecución de archivos LNK desde dispositivos USB mediante objetos de directiva de grupo (GPO) y limitar el uso innecesario de wscript.exe y cscript.exe.
- Sistemas de monitorización que gestionan operaciones financieras o relacionadas con criptomonedas para detectar actividad anómala en el portapapeles, comportamientos de captura de pantalla no autorizados y comunicaciones de red sospechosas relacionadas con Tor.
¿Por qué destaca esta amenaza?
Esta campaña demuestra la creciente sofisticación del malware con fines lucrativos. Al combinar la propagación de gusanos mediante USB, el secuestro del portapapeles, las comunicaciones ofuscadas con Tor, la extracción de capturas de pantalla y la ejecución remota de código en un único conjunto de herramientas, los operadores han creado una amenaza versátil capaz tanto de robar criptomonedas como de mantener el acceso a largo plazo a los sistemas infectados. El uso de infraestructura de servicios ocultos complica aún más la detección y la eliminación, lo que convierte la monitorización proactiva del comportamiento en una estrategia de defensa fundamental.
