En febrero de 2026, Microsoft Threat Intelligence y Microsoft Defender Experts descubrieron un ataque de tipo 'crypto clipper'. Esta fue una campaña que se construyó sobre Windows. El malware explota a los poseedores de criptomonedas mediante el secuestro del portapapeles y busca información sensible de las carteras. Estos hechos fueron reportados por Microsoft a través de su blog.
Los atacantes distribuyen principalmente este malware a través de archivos de acceso directo .lnk maliciosos distribuidos en unidades USB. La activación de este código malicioso conduce a la liberación de dos módulos por parte del malware. Un módulo propaga el malware a través de los sistemas, mientras que el otro opera como un 'clipper' y roba información. Microsoft Defender Antivirus identifica la amenaza como Trojan/CryptoBandits.A.
A diferencia de la mayoría de las operaciones de malware, esta no requiere el uso de un instalador ni de servidores de control, ya que utiliza Windows Script Host y la tecnología ActiveX para lanzar un proxy Tor empaquetado. Luego utiliza un proxy SOCKS5 en el equipo infectado y se conecta a los servidores de control, que se ejecutan en el servicio oculto Tor.
El malware roba información de cartera e intercambia direcciones
Tras infectar el sistema, el malware rastrea constantemente cualquier contenido del portapapeles y busca frases de recuperación, claves privadas y direcciones de cartera. Según Microsoft, el malware se dirige específicamente a frases de recuperación de 12 y 24 palabras, claves privadas de Bitcoin y claves privadas de Ethereum. Intercambia las direcciones de cartera copiadas por otras controladas por los atacantes antes de que los usuarios finalicen sus transacciones.
El malware toma capturas de pantalla y las envía a través de conexiones Tor, lo que permite a los atacantes obtener más información sobre los saldos de las carteras y las actividades de los usuarios. Además, Microsoft afirmó que el malware tiene capacidad de ejecución remota de código, lo que brinda a los atacantes la posibilidad de enviar instrucciones adicionales mientras asegura la persistencia mediante el uso de tareas programadas y el cifrado de partes maliciosas del malware.
Los investigadores identificaron varios indicadores de compromiso, incluida la ejecución de JavaScript sospechoso, actividad de proxy localhost:9050, captura de pantallas basada en PowerShell y comportamiento de monitoreo del portapapeles. Microsoft recomendó que las organizaciones deshabiliten las funciones de ejecución automática. También deberían limitar los intérpretes de scripts y los accesos directos ejecutables desde unidades USB, y monitorear cualquier actividad sospechosa relacionada con esto. Esta campaña de malware subraya el crecimiento continuo del uso de criptomonedas entre inversores y usuarios.
Noticias destacadas sobre criptomonedas:
La Fundación Ethereum enfrenta otra salida mientras Hsiao-Wei Wang renuncia
