Se oculta en pendrives y esquiva el Administrador de tareas: Microsoft detecta un astuto programa que roba criptomonedas
Bastó abrir el acceso directo habitual para que las cosas no salieran como se esperaba.
Los programas maliciosos cada vez prescinden más de una infraestructura de mando visible, ocultando la comunicación con los operadores dentro de redes anónimas, y precisamente esa campaña contra propietarios de criptomonedas fue recientemente descrita por Microsoft.
Según los especialistas de la empresa, desde febrero de 2026 los atacantes distribuyen el llamado 'clipper', que sustituye direcciones de monederos de criptomonedas y roba datos confidenciales. La particularidad del esquema es que el programa malicioso usa un cliente integrado de Tor para comunicarse con el servidor de control a través de servicios ocultos, y además puede ejecutar comandos recibidos de forma remota.
La infección comienza a través de unidades USB. En la memoria USB se coloca un archivo malicioso de acceso directo de Windows (LNK). Al ejecutarse, dicho acceso directo comprueba si el malware ya está presente en el equipo y, si es necesario, descarga componentes adicionales. Luego el gusano oculta los documentos en el soporte y crea nuevos accesos directos con los mismos nombres. El usuario ve el archivo habitual PDF o DOCX, pero en lugar del documento ejecuta el código malicioso.
Uno de los módulos se encarga de la propagación adicional a través de medios extraíbles y de la persistencia en el sistema mediante tareas programadas. El segundo módulo funciona como clipper. Vigila el contenido del portapapeles, recopila datos de monederos de criptomonedas y transmite la información a los operadores.
Tras iniciarse, el malware activa un cliente Tor disfrazado, crea un identificador único para la víctima y se registra en el servidor de control. A continuación, el programa permanece a la espera de comandos y comprueba el portapapeles aproximadamente dos veces por segundo en busca de frases semilla, claves privadas y direcciones de monederos. Al detectar una dirección de monedero de criptomonedas, el malware puede sustituirla sin que se note por una dirección de los atacantes. También envía capturas de pantalla a través de Tor.
Microsoft señala que el clipper utiliza Windows Script Host y ActiveX para interactuar con el sistema, y que al detectar el "Administrador de tareas" en ejecución finaliza su actividad para intentar evitar ser detectado. Si el servidor de control devuelve el comando especial EVAL, el malware es capaz de ejecutar el código enviado por los atacantes directamente durante su ejecución.
Para protegerse Microsoft recomienda prestar más atención a los indicadores de comportamiento de los ataques, y no solo a las firmas. La empresa aconseja desactivar AutoRun y AutoPlay para medios extraíbles, prohibir la ejecución de archivos LNK desde dispositivos externos mediante políticas de grupo, restringir el uso de wscript.exe y cscript.exe, y también monitorizar la actividad sospechosa relacionada con el portapapeles y la creación de