Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Nuevo malware Clipper roba criptomonedas vía USB
Noticias

Nuevo malware Clipper roba criptomonedas vía USB

por Dragora
Escrito por Dragora

Los ciberdelincuentes continúan perfeccionando sus técnicas para robar activos digitales, y una nueva campaña de malware descubierta por investigadores de Microsoft demuestra cómo las amenazas dirigidas contra usuarios de criptomonedas siguen evolucionando. La operación maliciosa utiliza un malware de tipo Clipper, capaz de propagarse automáticamente a través de dispositivos USB, monitorear el portapapeles de las víctimas, interceptar frases semilla y ocultar sus comunicaciones mediante la red Tor.

La campaña, activa al menos desde febrero de este año, representa una amenaza significativa para inversores, empresas y usuarios que almacenan criptomonedas en billeteras digitales. Además de sustituir direcciones de monederos por otras controladas por los atacantes, el malware incorpora funciones avanzadas de robo de información, captura de pantallas y ejecución remota de código.

¿Qué es un malware Clipper y por qué es tan peligroso?

Los malware Clipper son una categoría especializada de amenazas diseñadas para interceptar la información copiada en el portapapeles del sistema operativo.

Su objetivo principal consiste en detectar direcciones de billeteras de criptomonedas copiadas por los usuarios y reemplazarlas automáticamente por direcciones pertenecientes a los atacantes.

Debido a que las transacciones en blockchain son irreversibles, una vez que la víctima envía fondos a una dirección manipulada, resulta prácticamente imposible recuperar los activos robados.

Este tipo de ataques se ha convertido en una de las estrategias favoritas de los ciberdelincuentes porque aprovecha errores humanos y suele pasar desapercibido, especialmente cuando las direcciones fraudulentas son visualmente similares a las originales.

Cómo comienza la infección

Según Microsoft, la cadena de ataque inicia cuando la víctima abre un archivo LNK malicioso almacenado en una unidad USB.

Los archivos LNK son accesos directos de Windows que, aunque aparentan ser documentos legítimos, pueden ejecutar comandos ocultos en segundo plano.

Una vez ejecutado el archivo, el malware descarga componentes adicionales desde una dirección .onion accesible únicamente mediante la red Tor.

Este mecanismo permite a los atacantes ocultar la infraestructura utilizada para distribuir el malware y dificulta las tareas de rastreo por parte de investigadores y equipos de respuesta a incidentes.

Propagación automática mediante dispositivos USB

Uno de los aspectos más peligrosos de esta campaña es su capacidad de propagación tipo gusano.

Tras comprometer un sistema, el malware realiza un escaneo local en busca de documentos almacenados en el equipo.

Cuando encuentra archivos compatibles:

  • Oculta los documentos originales.
  • Crea accesos directos maliciosos con los mismos nombres.
  • Sustituye los archivos visibles para engañar al usuario.

Como resultado, cuando la víctima intenta abrir un documento aparentemente legítimo, termina ejecutando nuevamente el malware.

Además, la amenaza crea una tarea programada que supervisa constantemente la conexión de nuevos dispositivos USB.

Cada vez que se detecta una memoria extraíble:

  • El malware se copia automáticamente al dispositivo.
  • Se generan nuevos archivos LNK maliciosos.
  • Se prepara la propagación hacia otros sistemas.

Esta funcionalidad permite que la infección se extienda rápidamente dentro de entornos corporativos donde las memorias USB continúan siendo utilizadas para intercambiar información.

Robo de frases semilla y claves privadas

Una vez establecida la infección, entra en funcionamiento el módulo de robo de información.

Antes de iniciar sus actividades, el malware verifica si el Administrador de tareas está activo para reducir el riesgo de detección por parte del usuario.

Posteriormente establece comunicación con su servidor de comando y control (C2) utilizando un ejecutable de Tor identificado como ugate.exe.

A partir de ese momento, el malware monitoriza continuamente el portapapeles cada medio segundo en busca de información relacionada con criptomonedas.

Entre los datos que intenta interceptar se encuentran:

Frases semilla BIP39

El malware busca frases de recuperación de:

  • 12 palabras.
  • 24 palabras.

Estas frases son utilizadas por la mayoría de las billeteras modernas para restaurar el acceso a los fondos.

Claves privadas

Los investigadores observaron la capacidad de detectar:

  • Claves privadas de Ethereum.
  • Claves WIF de Bitcoin.

La obtención de estas claves permite a los atacantes acceder directamente a los activos digitales de las víctimas.

Direcciones de monederos

La amenaza también identifica direcciones pertenecientes a diversas redes blockchain, incluyendo:

  • Bitcoin Legacy.
  • Bitcoin P2SH.
  • Bitcoin Bech32.
  • Bitcoin Taproot.
  • Ethereum.
  • Tron.
  • Monero.

Cómo sustituye las direcciones de criptomonedas

La característica principal de este malware consiste en reemplazar las direcciones copiadas por el usuario antes de que sean pegadas en una aplicación o intercambio de criptomonedas.

Para aumentar las probabilidades de éxito, los atacantes utilizan direcciones cuidadosamente seleccionadas que comparten caracteres iniciales o patrones visuales similares a las direcciones originales.

Esta técnica reduce significativamente las posibilidades de que la víctima detecte la sustitución al realizar una revisión rápida antes de confirmar la transacción.

En muchos casos, los usuarios solo verifican los primeros y últimos caracteres de una dirección blockchain, una práctica que los atacantes explotan deliberadamente.

Función para reemplazar la dirección de la cartera

Función para reemplazar la dirección
de la cartera Fuente: Microsoft

Captura de pantallas y espionaje constante

La campaña no se limita únicamente al robo de criptomonedas.

Microsoft descubrió que el malware también realiza actividades de espionaje mediante capturas de pantalla periódicas.

El funcionamiento es el siguiente:

  • Captura cinco imágenes cada diez segundos.
  • Almacena temporalmente los archivos.
  • Los envía al servidor de comando y control utilizando la herramienta curl.

Estas capturas pueden contener información extremadamente sensible, incluyendo:

  • Credenciales.
  • Frases semilla visibles.
  • Paneles de intercambio de criptomonedas.
  • Datos financieros.
  • Información corporativa.

Capacidad de ejecución remota de código

Otro hallazgo preocupante es la presencia de funciones de ejecución remota de código.

Los operadores pueden enviar una instrucción específica denominada VAL desde el servidor de control.

Cuando se recibe esta orden, el malware:

  1. Descarga contenido JavaScript.
  2. Lo guarda en un archivo denominado «cfile».
  3. Ejecuta automáticamente el código en el sistema comprometido.

Esta funcionalidad convierte la amenaza en una plataforma flexible que puede utilizarse para desplegar malware adicional, instalar puertas traseras o realizar actividades de espionaje más avanzadas.

Indicadores de compromiso detectados por Microsoft

Los investigadores destacan que la detección de esta amenaza depende más del análisis del comportamiento que de firmas tradicionales.

Entre los principales indicadores de compromiso se encuentran:

Actividad sospechosa de procesos

Los equipos de seguridad deben vigilar:

  • wscript.exe
  • cscript.exe
  • PowerShell
  • cmd.exe
  • curl

Especialmente cuando generan procesos secundarios inusuales.

Uso de la red Tor

La presencia de conexiones asociadas a:

  • localhost:9050
  • Servicios proxy Tor
  • Comunicaciones hacia direcciones .onion

puede indicar actividad relacionada con esta campaña.

Modificaciones en dispositivos USB

La aparición repentina de archivos LNK en unidades extraíbles también constituye una señal de alerta importante.

Cómo protegerse de este malware dirigido a criptomonedas

Ante el aumento de este tipo de amenazas, los expertos recomiendan adoptar varias medidas preventivas:

  • Evitar abrir archivos LNK desconocidos.
  • Analizar cualquier memoria USB antes de utilizarla.
  • Mantener actualizado el software de seguridad.
  • Utilizar billeteras hardware para almacenar criptomonedas.
  • Verificar siempre la dirección completa antes de realizar transferencias.
  • Deshabilitar la ejecución automática de dispositivos USB.
  • Monitorizar conexiones relacionadas con Tor en entornos corporativos.
  • Implementar soluciones EDR capaces de detectar comportamientos anómalos.

En fin…

La nueva campaña de malware Clipper descubierta por Microsoft demuestra que los ciberdelincuentes continúan desarrollando herramientas cada vez más sofisticadas para atacar a usuarios de criptomonedas. Su capacidad para propagarse mediante USB, robar frases semilla, interceptar claves privadas, capturar pantallas y utilizar la red Tor para ocultar las comunicaciones convierte esta amenaza en un riesgo considerable tanto para usuarios particulares como para organizaciones.

A medida que aumenta la adopción de activos digitales, también crece el interés de los atacantes por desarrollar malware especializado. Por ello, la vigilancia constante, la educación en ciberseguridad y la protección adecuada de las billeteras digitales siguen siendo elementos fundamentales para evitar pérdidas económicas y compromisos de información crítica.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Brecha en Klue expone datos de Salesforce

PCPJack secuestra 230 servidores AWS, Google Cloud y...

Las estafas de la Copa Mundial de la...

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!