El equipo Microsoft Defender Security Research publicó un análisis detallado de una campaña de crypto-clipper para Windows, que combina propagación tipo gusano a través de unidades USB, enrutamiento del tráfico mediante un cliente Tor integrado y sustitución de direcciones de criptomonedas en el portapapeles. Según Microsoft, la campaña está activa presumiblemente desde febrero de 2026. La amenaza afecta a todos los usuarios de Windows que operan con monederos de criptomonedas y es notable porque convierte un stealer orientado al lucro en un backdoor completo y ligero con capacidad de ejecución remota de código.
Cadena de infección: de USB a Tor
El vector inicial de ataque es un archivo malicioso Windows Shortcut (LNK) que se propaga a través de unidades USB. Al abrir el acceso directo se ejecuta un componente tipo gusano que comprueba si la máquina ya está infectada y solo descarga la carga útil desde un servidor remoto en ausencia de una infección previa.
El gusano implementa un ingenioso esquema de ingeniería social a nivel de sistema de archivos: escanea el dispositivo USB en busca de documentos de formatos comunes (DOC, XLSX, PDF), oculta los archivos originales y crea en su lugar accesos directos LNK con los mismos nombres. El usuario, creyendo que abre un documento normal, ejecuta el código malicioso. En paralelo, el gusano se propaga a otros dispositivos USB conectados y crea tareas programadas para garantizar la persistencia de ambos componentes — el gusano y el stealer.
Arquitectura del clipper: motor de scripts en lugar de implante binario
La decisión de arquitectura elegida por los autores del malware merece una atención especial. El clipper utiliza WScript y ActiveXObject para interactuar con el sistema operativo, un enfoque que permite prescindir del instalador tradicional y reduce la probabilidad de detección mediante firmas estáticas de antivirus. En lugar de comunicarse con una infraestructura IP abierta del servidor de mando y control, el malware despliega un cliente portátil Tor y enruta todo el tráfico a través de un proxy SOCKS5 local hacia un servicio oculto (.onion).
Es destacable el mecanismo de evasión de análisis: el malware finaliza su ejecución si detecta Task Manager entre los procesos activos. Es una comprobación simple pero eficaz, pensada para que un analista o un usuario suspicaz que abra el administrador de tareas no vea actividad sospechosa.
Fase final: del stealer al backdoor
En la etapa final, el malware lanza un archivo binario de Tor renombrado en una ventana oculta, genera un identificador único de la víctima y lo registra en el servidor de mando. A partir de ahí se inicia un ciclo continuo de funcionamiento con dos tareas paralelas:
- Supervisión del portapapeles cada ~500 milisegundos: extracción de seed phrases, claves privadas y sustitución de las direcciones de monederos de criptomonedas copiadas por direcciones de los atacantes
- Consulta del servidor de mando para recibir instrucciones, incluida la posibilidad de ejecutar código arbitrario mediante el comando EVAL
Es precisamente la presencia del comando EVAL lo que convierte al clipper de motivación financiera en un backdoor completo. Como señala Microsoft, el malware «mezcla el robo de datos con la ejecución remota de código», lo que permite a los operadores ampliar en cualquier momento su funcionalidad, desde la exfiltración de capturas de pantalla (ya implementada) hasta la descarga de módulos adicionales.
Evaluación del impacto
Los usuarios y organizaciones que trabajan con activos de criptomonedas en sistemas Windows son los más expuestos al riesgo, especialmente en entornos donde las unidades USB se utilizan para el intercambio de archivos. La propagación tipo gusano a través de USB hace que la amenaza sea especialmente peligrosa para organizaciones con controles insuficientes sobre soportes extraíbles — entornos corporativos con estaciones de trabajo compartidas, centros educativos y pequeñas empresas.
La frecuencia de sondeo del portapapeles (cada 500 ms) prácticamente garantiza la interceptación de la dirección de monedero copiada antes de que el usuario llegue a pegarla. Al mismo tiempo, el uso de Tor para las comunicaciones con el servidor de mando dificulta seriamente la detección y el bloqueo a nivel de perímetro de red.
Recomendaciones de protección
Microsoft recomienda priorizar la detección basada en comportamiento sobre las firmas estáticas. Medidas concretas:
- Desactivar AutoRun/AutoPlay para todos los soportes extraíbles
- Bloquear la ejecución de archivos LNK desde unidades extraíbles mediante directivas de grupo (GPO)
- Restringir el uso de wscript.exe y cscript.exe — prohibir su ejecución a los usuarios que no necesiten motores de scripts para su trabajo
- Configurar la detección de la ejecución de curl, cmd.exe, PowerShell u otros ejecutables atípicos a través de WScript, CScript y motores de scripts similares
- Supervisar el comportamiento relacionado con el portapapeles y la captura de pantalla en los dispositivos que procesan operaciones financieras
- Rastrear la aparición de procesos Tor o de proxys SOCKS5 atípicos en las estaciones de trabajo
Las organizaciones que trabajan con activos de criptomonedas deberían revisar de inmediato sus políticas relativas a soportes extraíbles y asegurarse de que AutoRun esté desactivado y de que la ejecución de scripts mediante WSH esté restringida en todas las estaciones de trabajo. Dado que el malware se está explotando activamente y puede evolucionar a través del mecanismo EVAL, retrasar la implantación de estas medidas incrementa directamente la ventana de oportunidad para el robo de criptoactivos y la compromisión de los sistemas.
