¿Cómo una unidad USB desechada se convirtió en un silencioso ladrón de criptomonedas?
Un desarrollador sénior en una firma boutique de tecnología financiera notó una anomalía en las transacciones de su billetera de hardware el pasado martes. Intentó enviar 0.5 Bitcoin a una dirección de almacenamiento en frío que había utilizado docenas de veces. Copió la dirección de su gestor de contraseñas y la pegó en el campo de transferencia. La transacción se realizó. Sin embargo, los fondos nunca llegaron a su destino previsto. En cuestión de minutos, el saldo en su billetera de origen llegó a cero. Una investigación forense de la estación de trabajo reveló que la dirección pegada no era la que había copiado. Era una cadena casi idéntica controlada por un atacante. El punto de entrada para esta brecha fue una unidad USB promocional que encontró en una bolsa de regalos de una conferencia tres meses antes.
Investigadores de Microsoft identificaron recientemente esta amenaza específica como un nuevo gusano de autopropagación. Lo llaman Crypto Clipper. Este malware se diferencia de los paquetes de ransomware pesados y complejos que dominan los titulares actuales. Es un backdoor ligero basado en scripts que prioriza el sigilo y la monetización inmediata. La cadena de ataque comienza cuando un usuario conecta una unidad USB infectada a una máquina Windows. La unidad contiene archivos .lnk maliciosos que se hacen pasar por documentos o carpetas legítimos. Cuando un usuario interactúa con estos archivos, el proceso de infección comienza sin el aviso de instalación tradicional.
El mecanismo de replicación silenciosa e infección inicial
La propagación de Crypto Clipper es un regreso a la era de los primeros gusanos de Internet. Se basa en el movimiento físico de hardware entre sistemas. Cuando el malware encuentra un nuevo host, busca cualquier dispositivo de almacenamiento USB conectado. Crea una serie de archivos .lnk en estas unidades. Estos archivos de acceso directo almacenan código ejecutable que apunta a la carga útil del malware. Para aumentar las posibilidades de un clic exitoso, el malware utiliza nombres que coinciden con los archivos existentes en la unidad. Se trata de un caballo de Troya digital que explota la confianza inherente que los usuarios depositan en su propio hardware.
Desde una perspectiva de riesgo, este gusano es eficaz porque elude por completo el perímetro de la red. La mayoría de las pilas de seguridad modernas se centran en el tráfico web entrante y los archivos adjuntos de correo electrónico. Un script malicioso que llega a través de una interfaz de hardware local a menudo evita las capas iniciales de inspección. Una vez que se ejecuta el archivo .lnk, este ejecuta un comando de PowerShell. Este comando comprueba si la máquina ya está infectada. Si el sistema está limpio, el script se comunica con un servidor externo para descargar los componentes principales del clipper.
¿Por qué los firewalls tradicionales no detectan el tráfico enrutado por Tor
La característica más distintiva de Crypto Clipper es el uso de la red Tor para el comando y control. La mayoría de las familias de malware utilizan direcciones IP o nombres de dominio codificados que los analistas de seguridad pueden bloquear fácilmente. Este malware adopta un enfoque más resistente. Despliega un cliente Tor portátil en el host infectado. Luego, enruta toda la comunicación saliente a través de un proxy SOCKS5 local, normalmente en el puerto 9050. Esto crea un túnel anónimo entre el dispositivo comprometido y el atacante.
Esta configuración supone un desafío directo para las prácticas estándar de registro. En un entorno corporativo típico, un firewall registra la IP de destino de cada paquete saliente. Cuando un dispositivo utiliza Tor, el firewall solo ve una conexión a un nodo de entrada de Tor. Estos nodos suelen ser servidores legítimos. El destino real de los datos robados permanece oculto tras múltiples capas de cifrado y nodos redundantes. Evaluar la superficie de ataque en este contexto es difícil porque el tráfico malicioso se mezcla con la actividad web cifrada común. El malware utiliza el protocolo SOCKS5 para reenviar datos a su destino final, garantizando que la dirección del servidor del atacante nunca aparezca en los registros de la red local.
La anatomía de un secuestro del portapapeles
La función principal del malware es supervisar el portapapeles de Windows. Busca patrones específicos que coincidan con direcciones de billeteras de criptomonedas. Bitcoin, Ethereum y otros activos importantes utilizan formatos alfanuméricos estandarizados. Crypto Clipper utiliza expresiones regulares para identificar estas cadenas en tiempo real. Cuando un usuario copia una dirección, el malware intercepta el contenido del portapapeles. Reemplaza la dirección del usuario con una dirección propiedad del atacante.
Esta es una forma simple pero devastadora de compromiso de la integridad de los datos. La mayoría de los usuarios verifican una dirección comprobando los primeros y últimos cuatro caracteres. Variantes sofisticadas de este malware generan miles de direcciones para encontrar una que coincida con el objetivo previsto de la víctima lo más fielmente posible. Más allá del simple reemplazo de direcciones, el malware también supervisa las frases semilla. Estas son las secuencias de 12 o 24 palabras que se utilizan para recuperar una billetera criptográfica. Si el malware detecta una frase semilla en el portapapeles, exfiltra el texto inmediatamente. Esto le da al atacante el control total sobre toda la cartera de activos digitales de la víctima.
Confirmación visual mediante captura de pantalla sigilosa
Crypto Clipper no se detiene en el robo basado en texto. Microsoft descubrió que el malware realiza cinco capturas de pantalla en un periodo de 10 segundos cada vez que detecta datos sensibles en el portapapeles. Estas imágenes proporcionan contexto al atacante. Una captura de pantalla puede revelar el software de billetera específico en uso, el saldo de la cuenta o preguntas de seguridad adicionales en la pantalla. El malware utiliza comandos nativos de PowerShell para capturar la pantalla, lo que le ayuda a evitar la detección por parte de software antivirus básico que solo busca herramientas de captura de terceros.
| Característica | Ladrón tradicional | Crypto Clipper |
|---|---|---|
| Método de conexión | IP/DNS directo | Tor a través de Proxy SOCKS5 |
| Persistencia | Claves de registro/Carpeta de inicio | Autopropagación por USB |
| Objetivo de datos | Contraseñas guardadas/Cookies | Portapapeles activo/Frases semilla |
| Evidencia | Archivos de registro locales | Capturas de pantalla/Exfiltración anónima |
| Infraestructura | Servidores C2 estáticos | Servicios ocultos de Tor descentralizados |
La transición de ladrón a puerta trasera activa
Si bien el objetivo principal es el robo financiero, Microsoft clasifica esta amenaza como un backdoor ligero. La presencia del proxy Tor y la capacidad de ejecutar código remoto significan que el atacante puede hacer más que simplemente intercambiar direcciones de billeteras. Pueden enviar nuevos scripts a la máquina infectada en cualquier momento. Esto permite que el malware evolucione en función del entorno en el que habita. En un entorno corporativo, un atacante podría pasar de robar criptomonedas a recolectar credenciales internas o desplegar ransomware.
Esta capacidad de asignación de tareas en tiempo de ejecución convierte al malware en una amenaza persistente. Incluso si un usuario limpia su portapapeles o mueve sus fondos, el backdoor permanece activo. El atacante puede esperar meses antes de desplegar una carga útil más invasiva. Hablando proactivamente, la existencia de una conexión persistente y anónima a una estación de trabajo interna es el peor de los escenarios para cualquier equipo de seguridad. Convierte una sola unidad USB infectada en un agujero permanente en el casco del barco.
Indicadores técnicos de un sistema comprometido
Microsoft Defender for Endpoint tiene firmas específicas para esta amenaza. Marca procesos de JavaScript sospechosos e intentos de exfiltración de datos que utilizan la utilidad Curl. Sin embargo, la búsqueda manual suele ser necesaria para sistemas más antiguos o aquellos que no cuentan con herramientas EDR avanzadas. El indicador más fuerte de una infección por Crypto Clipper es la presencia de un servicio proxy escuchando en localhost:9050. Este es el puerto predeterminado para el proxy SOCKS5 de Tor.
Los administradores también deben buscar intérpretes de scripts como PowerShell o CMD que generen procesos secundarios inusuales. El malware los utiliza con frecuencia para ejecutar sus rutinas de captura de pantalla y supervisión del portapapeles. Cualquier evidencia de comandos de captura de pantalla en el historial de PowerShell debe ser una señal de alerta. Desde una perspectiva forense, la aparición de nuevos archivos .lnk en una unidad USB con nombres que imitan documentos existentes es una señal definitiva de la presencia del gusano. Microsoft Defender Antivirus detecta la carga útil principal como Trojan:Win32/CryptoBandits.A.
Pasos prácticos para reforzar sus interfaces de hardware
Asegurar una red contra un gusano de autopropagación requiere una combinación de controles técnicos y educación del usuario. Aparte de los parches, la defensa más eficaz es una política estricta con respecto a los medios extraíbles. Muchas organizaciones ahora desactivan los puertos USB por defecto o utilizan software para autorizar unidades específicas y cifradas. Este es el equivalente digital de un portero de un club VIP en cada puerta interna. Si un dispositivo no está en la lista, no entra.
Los usuarios también deben adoptar un enfoque de confianza cero con sus portapapeles. Nunca asuma que la cadena que pega es la misma que copió. Verifique siempre la dirección completa de la billetera, no solo los primeros caracteres, antes de confirmar una transacción. Para transferencias de alto valor, la verificación fuera de banda es una necesidad. Esto implica comprobar la dirección en un dispositivo independiente que no esté conectado a la misma red. Este sencillo paso puede evitar la gran mayoría de los robos basados en clippers.
Por último, las organizaciones deben auditar sus sistemas para detectar la presencia de herramientas proxy no autorizadas. Tor tiene usos legítimos, pero su presencia en una estación de trabajo de oficina estándar es casi siempre un signo de shadow IT o de una brecha de seguridad. Supervisar el tráfico de red hacia nodos de entrada de Tor conocidos puede ayudar a identificar máquinas infectadas antes de que el atacante pueda exfiltrar cantidades significativas de datos. Esta supervisión proactiva es la diferencia entre un incidente menor y una pérdida total de activos digitales.
Fuentes
- Microsoft Threat Intelligence Report (Junio 2026)
- MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
- NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
- Microsoft Security Blog: Evolution of Script-Based Stealers
Descargo de responsabilidad: Este artículo tiene fines informativos y educativos únicamente. No sustituye a una auditoría de ciberseguridad profesional ni a un servicio de respuesta ante incidentes. Consulte siempre con un profesional de seguridad certificado antes de realizar cambios en la postura de seguridad de su empresa.
Nos vemos en el otro lado.
Nuestra solución de correo electrónico cifrado y almacenamiento en la nube de extremo a extremo proporciona los medios más potentes para el intercambio seguro de datos, lo que garantiza la seguridad y la privacidad de sus datos.
/ Crear una cuenta gratuita
