Malware criptográfico se propaga por USB y usa Tor para robar credenciales

¿Qué ha ocurrido?

Microsoft ha detectado un nuevo malware de robo de criptomonedas que se propaga mediante unidades USB. Bautizado como Crypto Clipper, este gusano monitoriza el portapapeles del dispositivo infectado en busca de direcciones de billeteras de criptomonedas o frases semilla. Cuando las encuentra, las reemplaza por direcciones controladas por los atacantes, desviando así los pagos. Además, toma cinco capturas de pantalla en un intervalo de 10 segundos para proporcionar contexto al atacante.

Lo más notable es su método de propagación y comunicación. El malware se distribuye a través de archivos .lnk (accesos directos) en unidades USB. Al conectar una unidad infectada, el código verifica si ya está instalado en el equipo; si no, descarga el payload completo a través de un proxy Tor integrado. Esto permite que el malware funcione sin una infraestructura de comando y control (C2) basada en IP expuesta, utilizando en su lugar la red Tor para anonimizar el tráfico. Microsoft ha observado que el malware también puede ejecutar código remoto, lo que lo convierte en una puerta trasera ligera. La compañía cree que el propósito de las capturas de pantalla es proporcionar información contextual que pueda ser útil para los atacantes.

Según el informe de Microsoft, el gusano también escanea la unidad USB infectada y nombra los archivos .lnk con nombres similares a los existentes para ocultarse. Una vez instalado, el malware reemplaza las direcciones de criptomonedas en el portapapeles con direcciones controladas por los atacantes, permitiendo el desvío de pagos. Microsoft destaca que esta familia de malware muestra cómo los robos basados en scripts ligeros pueden generar un impacto desproporcionado cuando se combinan con comunicaciones anónimas y tareas en tiempo de ejecución.

¿Por qué es importante?

Este hallazgo es significativo por varias razones. Primero, demuestra una evolución en las tácticas de los ciberdelincuentes: combinan técnicas de propagación física (USB) con comunicaciones anónimas (Tor) y robo de credenciales de criptomonedas. Segundo, la capacidad de ejecutar código remoto convierte un simple clipper en una amenaza persistente que puede ser utilizada para otros fines maliciosos, como el despliegue de ransomware o el espionaje.

Además, el uso de Tor para ocultar la comunicación C2 dificulta la detección y el bloqueo por parte de los sistemas de seguridad tradicionales. La propagación mediante USB es particularmente peligrosa en entornos corporativos donde los dispositivos extraíbles son comunes, y puede eludir las defensas de red. Microsoft señala que la combinación de C2 enrutado por Tor, captura de pantalla y ejecución remota de código ofrece a los atacantes tanto vías de monetización inmediata como control continuo sobre los dispositivos comprometidos.

El impacto potencial es amplio: desde el robo de fondos de criptomonedas de usuarios individuales hasta el compromiso de sistemas corporativos enteros. Dado que las criptomonedas siguen ganando adopción, el malware dirigido a ellas se vuelve más frecuente. Según datos de Chainalysis, en 2024 se robaron más de 3.800 millones de dólares en criptomonedas, un aumento significativo respecto a años anteriores. Este tipo de malware podría contribuir a esa tendencia.

Consecuencias y recomendaciones

Para los usuarios individuales, el riesgo principal es la pérdida de fondos de criptomonedas si el malware logra reemplazar direcciones en transacciones copiadas al portapapeles. Para las empresas, la amenaza es doble: robo de activos digitales y posible compromiso de sistemas a través de la puerta trasera. Las empresas que manejan criptomonedas o tienen empleados que las usan son especialmente vulnerables.

Microsoft recomienda las siguientes medidas:

• Deshabilitar la ejecución automática de unidades USB en los sistemas.
• Escanear siempre las unidades USB con software antivirus antes de usarlas.
• Utilizar billeteras de hardware para criptomonedas, que no dependen del portapapeles.
• Mantener los sistemas actualizados y usar soluciones de seguridad que detecten comportamientos anómalos, como el uso no autorizado de Tor.

Además, las organizaciones deberían implementar políticas de seguridad USB, como el uso de puertos bloqueados o software de control de dispositivos. También es recomendable educar a los empleados sobre los riesgos de conectar dispositivos USB desconocidos. Dado que el malware utiliza Tor, los equipos de seguridad pueden monitorear el tráfico de red en busca de conexiones Tor no autorizadas, aunque esto puede ser técnicamente desafiante.

Contexto y comparaciones

Este no es el primer malware que utiliza Tor para ocultar su C2; ejemplos anteriores incluyen TorRAT y OnionDuke. Sin embargo, la combinación con propagación por USB y robo de criptomonedas es novedosa. La técnica de clipper (reemplazo de direcciones en portapapeles) ya se ha visto en malware como CryptoShuffler y EvilClippy, pero sin la capacidad de autopropagación.

El uso de archivos .lnk para propagación recuerda a gusanos como Stuxnet y Conficker, aunque estos tenían objetivos diferentes. Stuxnet, por ejemplo, se propagaba a través de USB para atacar sistemas SCADA, mientras que Conficker explotaba vulnerabilidades de red. La ligereza del malware (basado en scripts) y su capacidad de descargar componentes adicionales lo hacen flexible y difícil de erradicar. Microsoft destaca que este malware es un ejemplo de cómo los robos basados en scripts pueden tener un impacto desproporcionado.

En el panorama actual de amenazas, la combinación de vectores físicos y anonimización es particularmente preocupante. La propagación por USB permite eludir defensas perimetrales, y el uso de Tor dificulta el rastreo. Este tipo de malware podría marcar una tendencia hacia ataques más sigilosos y dirigidos. Además, la capacidad de ejecución remota de código abre la puerta a ataques secundarios, como el despliegue de ransomware o el robo de datos corporativos.

En conclusión, Crypto Clipper representa una evolución significativa en el malware de robo de criptomonedas. Su diseño modular y su capacidad para operar de forma anónima lo convierten en una amenaza seria tanto para individuos como para empresas. La combinación de técnicas conocidas de una manera novedosa demuestra la creciente sofisticación de los ciberdelincuentes. La comunidad de seguridad debe estar atenta y adoptar medidas proactivas para mitigar este tipo de amenazas.