Microsoft ha revelado detalles de su campaña Clipper de criptomonedas basada en Windows dirigida a usuarios a partir de febrero de 2026.
«El clipper en esta campaña utiliza un host de secuencias de comandos de Windows y una lógica impulsada por ActiveX para lanzar un proxy Tor incluido y sondear un servidor C2 (comando y control) en busca de servicios ocultos», dijo el equipo de investigación de seguridad de Microsoft Defender en un análisis publicado el martes. «A menudo se roban portapapeles, se filtran capturas de pantalla y se intercambian direcciones de billetera».
«Esta ejecución de clipper es notable porque no depende de instaladores tradicionales ni de una infraestructura C2 basada en IP expuesta. En cambio, implementa un cliente Tor portátil y enruta el tráfico a través de un proxy SOCKS5 local, combinando el robo de datos con la ejecución remota de código para convertir a un ladrón con motivación financiera en una puerta trasera liviana».
El malware Clipper se refiere a un tipo de software malicioso que monitorea silenciosamente el portapapeles de un usuario e intercepta datos confidenciales pegados en un búfer de corto plazo. Se dirige principalmente a las transacciones de criptomonedas reemplazando las cadenas de direcciones de billetera que coinciden con los patrones de direcciones de blockchain conocidos y redirigiendo las transacciones a direcciones bajo su control.
El ataque implica distribuir un archivo malicioso de acceso directo a Windows (LNK) a través de un dispositivo de almacenamiento USB que, cuando se abre, activa un componente de gusano que verifica si la máquina ya está infectada y solo continúa recuperando la carga útil de un servidor remoto si la carga útil no está presente. El segundo módulo implementado es Clipper, que recopila y extrae información de billeteras de criptomonedas.
La carga útil LNK escanea el dispositivo USB en busca de tipos de documentos comunes como DOC, XLSX y PDF, los oculta si los encuentra y crea un nuevo archivo LNK con el mismo nombre de archivo y argumentos después del componente del gusano. Por lo tanto, cuando un usuario desprevenido inicia el acceso directo pensando que está abriendo un documento inocente, se desencadena la ejecución del malware.
Además de garantizar la propagación a otras unidades USB no comprometidas, el componente del gusano implementa tareas programadas como una forma de persistencia tanto para el componente del gusano como para el ladrón. Clipper utiliza WScript y ActiveXObjects para interactuar con el sistema operativo y evitar la detección al cerrar el Administrador de tareas si está incluido en la lista de procesos en ejecución activa.
En la etapa final, el malware lanza un binario Tor renombrado en una ventana oculta, genera una identificación de víctima única y la registra en un servidor externo. Una vez que se completa este paso, el malware ingresa en un bucle continuo, sondeando periódicamente el servidor C2 en busca de instrucciones y al mismo tiempo monitorea el portapapeles aproximadamente cada 500 milisegundos para extraer la frase inicial y la clave privada.
«También secuestra direcciones de criptomonedas reemplazando los valores de billetera copiados con valores alternativos controlados por el atacante y carga capturas de pantalla a través de Tor», dijo Microsoft. «Si el C2 devuelve una respuesta EVAL, el malware ejecuta el código proporcionado por el atacante en tiempo de ejecución».
El gigante tecnológico recomienda que los defensores den prioridad a la detección de comportamiento sobre las firmas estáticas, especialmente considerando las capturas de pantalla basadas en PowerShell y el uso de curl, cmd.exe, PowerShell o WScript, CScript o motores de secuencias de comandos relacionados para iniciar ejecutables inesperados.
Otras mitigaciones incluyen deshabilitar la ejecución automática/reproducción automática en todos los medios extraíbles, bloquear la ejecución de LNK desde unidades extraíbles a través de objetos de política de grupo (GPO), restringir el uso innecesario de wscript.exe o cscript.exe y verificar el comportamiento de captura de pantalla y relacionado con el portapapeles en dispositivos que procesan flujos de trabajo financieros confidenciales.
Source link
