Microsoft detecta nuevo malware que roba criptomonedas y se propaga a través de dispositivos USB

Qué pasó

Microsoft anunció el jueves el hallazgo de un nuevo código malicioso que combina características de un stealer financiero con las de una puerta trasera ligera. La empresa lo denominó Crypto Clipper debido a su capacidad para monitorear de forma continua el contenido del portapapeles del dispositivo infectado, identificando patrones compatibles con direcciones de billeteras digitales o con frases semilla estandarizadas de doce o veinticuatro palabras.

Cuando el malware detecta uno de estos patrones, captura cinco capturas de pantalla distribuidas en un periodo de diez segundos. Tanto las credenciales como las imágenes son exfiltradas hacia servidores bajo control de los atacantes, utilizando la red Tor y un proxy local SOCKS5 para anonimizar el tráfico y dificultar el rastreo de las direcciones IP de origen y destino.

El mecanismo de propagación del software se basa en archivos con extensión .lnk almacenados en unidades USB. Cuando una memoria infectada se conecta a un equipo, el código verifica si el malware ya se encuentra instalado. En caso contrario, procede a su descarga a través del proxy Tor. Para reducir la evidencia visible del ataque, el programa renombra los archivos .lnk con denominaciones similares entre sí, dificultando su identificación por parte del usuario.

Una de las funcionalidades adicionales más relevantes es el reemplazo de direcciones de billeteras detectadas en el portapapeles por direcciones pertenecientes a los atacantes. Esta técnica permite redirigir pagos hacia los operadores del malware sin que el usuario perciba la sustitución. De forma paralela, el código ofrece capacidades de ejecución remota de instrucciones, lo que entrega a los atacantes un canal de control persistente sobre los dispositivos comprometidos, independientemente del objetivo financiero inicial.

Contexto

El descubrimiento se enmarca en una tendencia creciente de ataques cibernéticos dirigidos al ecosistema de activos digitales, donde los robos mediante clipper malware representan una de las vectores con mayor expansión a nivel global. Los atacantes combinan técnicas de ingeniería social con herramientas de anonimato como Tor, lo que reduce significativamente las posibilidades de identificación y respuesta por parte de las autoridades.

La elección de unidades USB como medio de propagación responde a un modelo de ataque probado durante la última década, pero que continúa siendo efectivo en entornos corporativos donde se intercambian dispositivos de almacenamiento externo con regularidad. A diferencia de las campañas de phishing, este vector no requiere interacción con enlaces ni descargas activas por parte del usuario.

Microsoft ha subrayado que el Crypto Clipper no depende de un instalador tradicional ni de infraestructura de comando y control basada en direcciones IP expuestas. En su lugar, despliega un cliente Tor portable, enruta el tráfico mediante un proxy SOCKS5 local y combina el robo de datos con la ejecución remota de código. Esta arquitectura representa una evolución de los stealers clásicos hacia herramientas híbridas con mayor capacidad de persistencia.

La compañía describió que este tipo de malware demuestra cómo los scripts ligeros pueden generar un impacto desproporcionado cuando se combinan con comunicaciones anonimizadas y tareas en tiempo de ejecución. La convergencia entre ruteo mediante Tor, captura de portapapeles, screenshots y ejecución remota ofrece a los atacantes tanto rutas inmediatas de monetización como control sostenido sobre los equipos afectados.

Impacto para empresas chilenas

Para las empresas chilenas, especialmente para aquellas que operan con activos digitales o que mantienen operaciones en el ecosistema cripto, el hallazgo representa una alerta relevante. La presencia de usuarios y firmas locales que gestionan billeteras de criptomonedas de manera profesional o semiprofesional ha aumentado de forma sostenida durante los últimos años, lo que amplía la superficie de ataque potencial dentro del mercado local.

El vector de propagación mediante USB es particularmente sensible en sectores donde persisten prácticas de intercambio físico de archivos, como instituciones financieras, oficinas gubernamentales y empresas de menor tamaño con políticas de ciberseguridad menos maduras. Una memoria infectada conectada brevemente a un equipo corporativo puede comprometer credenciales de alto valor sin generar alertas inmediatas.

Para las pequeñas y medianas empresas chilenas, el escenario más crítico se presenta cuando colaboradores manejan pagos o transferencias en criptomonedas desde equipos de trabajo compartidos. El reemplazo silencioso de direcciones de wallet puede traducirse en pérdidas financieras directas que rara vez son recuperables, dado el carácter irreversible de las transacciones en blockchains públicas.

Como medida preventiva, especialistas recomiendan reforzar las políticas de uso de dispositivos externos, mantener actualizadas las soluciones de endpoint detection como Microsoft Defender for Endpoint —que ya identifica los componentes del malware como procesos sospechosos de JavaScript—, y capacitar a los equipos en la verificación manual de direcciones antes de ejecutar transferencias de activos digitales.

Qué sigue

El surgimiento de Crypto Clipper anticipa una etapa en la que los programas maliciosos financieros incorporan de manera estándar capacidades de puerta trasera y ejecución remota, desdibujando la frontera entre stealers y troyanos de acceso remoto. Esta convergencia obliga a los equipos de seguridad a revisar supuestos tradicionales sobre el alcance y la persistencia de las amenazas consideradas menores.

En el corto plazo, se espera que los actores maliciosos adapten esta arquitectura a otros entornos, incluyendo sistemas operativos adicionales y nuevas superficies de ataque como navegadores y extensiones. Para el mercado chileno, el desafío será traducir este tipo de alertas globales en políticas corporativas concretas que reduzcan la exposición de empresas y usuarios finales ante amenazas en permanente evolución.