Microsoft ha detectado un nuevo malware autoproclamado llamado Crypto Clipper, diseñado para robar credenciales de criptomonedas. Este software malicioso se propaga a través de unidades USB, utilizando archivos .lnk que almacenan código ejecutable. Al conectar un USB infectado, el malware verifica si ya está instalado en el dispositivo y, de no ser así, lo descarga utilizando un proxy Tor.
El Crypto Clipper monitorea el contenido del portapapeles en busca de patrones que coincidan con direcciones de billeteras o frases semilla, y cuando las encuentra, las carga junto con cinco capturas de pantalla tomadas en un período de 10 segundos. Esta información se envía a servidores controlados por los atacantes a través de la red Tor, que permite el enrutamiento anónimo de datos.
La ejecución de este malware es notable porque no depende de un instalador tradicional ni de infraestructura de comando y control (C2) basada en IP. En cambio, utiliza un cliente Tor portátil y un proxy SOCKS5 para ocultar su actividad. Microsoft señala que esta combinación de técnicas permite que un ladrón motivado financieramente se convierta en una puerta trasera ligera.
Crypto Clipper no solo roba credenciales, sino que también reemplaza las direcciones de criptomonedas encontradas con las de billeteras controladas por los atacantes, lo que les permite desviar pagos. Microsoft advierte que la combinación de comunicaciones anónimas y la ejecución de código remoto otorgan a los atacantes tanto caminos inmediatos de monetización como control continuo sobre los dispositivos comprometidos.
Para detectar este malware, Microsoft Defender para Endpoint identifica componentes de Crypto Clipper como procesos JavaScript sospechosos y posibles exfiltraciones de datos. Además, se clasifica como Trojan: Win32/CryptoBandits.A. Las señales más fuertes de infección incluyen intérpretes de scripts que generan procesos hijos sospechosos, uso de proxies en localhost:9050 y comandos de captura de pantalla en PowerShell.
Comentarios