Microsoft ha revelado detalles de una campaña de eliminación de criptomonedas basada en Windows que se ha dirigido a los usuarios desde febrero de 2026.

«El clipper de esta campaña se basa en Windows Script Host y en la lógica impulsada por ActiveX para lanzar un proxy Tor incluido y sondear un servicio oculto C2. [command-and-control] servidor», el equipo de investigación de seguridad de Microsoft Defender dicho en un análisis publicado el martes. «Lleva a cabo robo de portapapeles de alta frecuencia, exfiltración de capturas de pantalla y sustitución de direcciones de billetera».

«La ejecución de este clipper es notable porque no depende de un instalador tradicional o de una infraestructura C2 basada en IP expuesta. En cambio, implementa un cliente Tor portátil, enruta el tráfico a través de un proxy SOCKS5 local y combina el robo de datos con la ejecución remota de código, convirtiendo a un ladrón con motivación financiera en una puerta trasera liviana».

El malware Clipper se refiere a un tipo de software malicioso que monitorea silenciosamente el portapapeles de un usuario e intercepta datos confidenciales pegados en el búfer de corto plazo. Se dirige principalmente a las transacciones de criptomonedas sustituyendo cadenas de direcciones de billetera que coinciden con patrones de direcciones de blockchain conocidos para redirigirlas a direcciones bajo su control.

Los ataques implican la distribución de un archivo malicioso de acceso directo de Windows (LNK) a través de dispositivos de almacenamiento USB, cuya apertura activa un componente de gusano que verifica si la máquina ya está infectada y solo procede a buscar la carga útil de un servidor remoto si no está presente. Un segundo módulo implementado es el clipper que recolecta y extrae información de la billetera de criptomonedas.

La carga útil LNK escanea el dispositivo USB en busca de tipos de documentos comunes como DOC, XLSX y PDF y, si los encuentra, los oculta y crea nuevos archivos LNK con los mismos nombres de archivo y que contienen argumentos que se alinean con el componente del gusano. Por lo tanto, cuando un usuario desprevenido inicia el acceso directo pensando que está abriendo un documento inofensivo, se desencadena la ejecución del malware.

El componente del gusano, además de garantizar la propagación a otras unidades USB no comprometidas, implementa tareas programadas como una forma de persistencia tanto para el componente del gusano como para el componente ladrón. El cortapelos, por su parte, utiliza WScript y ActiveXObject para interactuar con el sistema operativo y sale si el Administrador de tareas se encuentra entre la lista de procesos en ejecución activa para evadir la detección.

En la etapa final, el malware lanza un binario Tor renombrado en una ventana oculta, genera un identificador de víctima único y lo registra en el servidor externo. Una vez que se completa este paso, el malware entra en un bucle continuo, sondeando periódicamente el servidor C2 en busca de instrucciones y al mismo tiempo monitorea el portapapeles cada 500 milisegundos para extraer frases iniciales y claves privadas.

«También secuestra direcciones de criptomonedas reemplazando valores de billetera copiados con alternativas controladas por atacantes y carga capturas de pantalla a través de Tor», dijo Microsoft. «Si el C2 devuelve una respuesta EVAL, el malware ejecuta el código proporcionado por el atacante en tiempo de ejecución».

El gigante tecnológico ha recomendado que los defensores den prioridad a las detecciones de comportamiento sobre las firmas estáticas, buscando específicamente la captura de pantalla basada en PowerShell y el uso de WScript, CScript o motores de script relacionados para iniciar curl, cmd.exe, PowerShell o ejecutables inesperados.

Otras mitigaciones incluyen deshabilitar la ejecución automática/reproducción automática para todos los medios extraíbles, bloquear la ejecución de LNK desde unidades extraíbles a través de objetos de política de grupo (GPO), restringir el uso innecesario de wscript.exe o cscript.exe y revisar los comportamientos relacionados con el portapapeles y las capturas de pantalla en dispositivos que manejan flujos de trabajo financieros confidenciales.