{"id":1226,"date":"2026-06-17T20:08:03","date_gmt":"2026-06-17T20:08:03","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/la-campana-crypto-clipper-abusa-de-resenas-falsas-narradores-de-inteligencia-artificial-y-comentarios-de-virustotal-cyberdefensa-mx\/"},"modified":"2026-06-17T20:08:03","modified_gmt":"2026-06-17T20:08:03","slug":"la-campana-crypto-clipper-abusa-de-resenas-falsas-narradores-de-inteligencia-artificial-y-comentarios-de-virustotal-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/17\/la-campana-crypto-clipper-abusa-de-resenas-falsas-narradores-de-inteligencia-artificial-y-comentarios-de-virustotal-cyberdefensa-mx\/","title":{"rendered":"La campa\u00f1a Crypto Clipper abusa de rese\u00f1as falsas, narradores de inteligencia artificial y comentarios de VirusTotal \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Se ha observado que un actor de amenazas desconocido aprovecha publicaciones pagadas o promocionadas en sitios web de noticias leg\u00edtimos para generar expectaci\u00f3n sobre su warez, seg\u00fan nuevos hallazgos de Check Point Research.<\/p>\n

El actor de amenazas tambi\u00e9n tiene a su disposici\u00f3n una p\u00e1gina de phishing de WordPress dedicada que act\u00faa como centro central, junto con proyectos de GitHub y SourceForge promovidos por cuentas falsas, un canal de YouTube y un grupo de cuentas que participan en actividades coordinadas en VirusTotal con la intenci\u00f3n de clasificar err\u00f3neamente archivos maliciosos como seguros.<\/p>\n

\u00abPara impulsar una ‘herramienta’ maliciosa, un \u00fanico actor de amenazas tom\u00f3 prestado el mismo manual que las marcas leg\u00edtimas usan para generar expectaci\u00f3n: recuentos inflados de descargas, rese\u00f1as coordinadas de cinco estrellas, videos tutoriales estilo influencer y promoci\u00f3n en plataformas en las que la gente conf\u00eda instintivamente\u00bb, Check Point dicho<\/a> en un informe compartido con The Hacker News. \u00abEl resultado es una econom\u00eda de reputaci\u00f3n falsa que abarca todas las plataformas que una v\u00edctima curiosa podr\u00eda consultar antes de hacer clic en ‘descargar’\u00bb.<\/p>\n

El objetivo final de la campa\u00f1a es impulsar un secuestrador de portapapeles de criptomonedas oculto en los robots de francotirador Solana y Pump.fun y en los predictores de fallos de juegos, lo que sugiere que los objetivos son los poseedores de activos de criptomonedas y los jugadores en l\u00ednea que buscan atajos y ganancias r\u00e1pidas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El cortapelos basado en Rust apunta a sistemas Windows y macOS, y monitorea continuamente el portapapeles en busca de contenido que coincida con un patr\u00f3n de direcci\u00f3n de billetera de criptomonedas. Cuando se encuentra una coincidencia, el malware sustituye la direcci\u00f3n de la billetera por una direcci\u00f3n controlada por el atacante extra\u00edda de una lista codificada, enrutando efectivamente los activos digitales hacia ellos.<\/p>\n

Lo destacable de la actividad es la uso de Ghost Networks para envenenar sistemas basados \u200b\u200ben la reputaci\u00f3n como VirusTotal, con el objetivo de reducir las sospechas y aumentar la confianza de las v\u00edctimas en los archivos maliciosos a trav\u00e9s de una combinaci\u00f3n de votos a favor y comentarios altamente positivos.<\/a><\/p>\n

\"\"<\/a><\/div>\n

Este comportamiento tambi\u00e9n se extiende a GitHub, donde el actor de amenazas opera al menos seis cuentas de GitHub para realizar promoci\u00f3n cruzada y distribuir su malware. Estas se\u00f1ales potenciadas sint\u00e9ticamente est\u00e1n dise\u00f1adas para adormecer a los usuarios con una falsa sensaci\u00f3n de seguridad y confianza. Uno de esos repositorios tiene 146 estrellas y 62 bifurcaciones.<\/p>\n

\u00abEn SourceForge, el contador de descargas alcanz\u00f3 44.485, con 37.460 sospechosos supuestamente originados en dispositivos Android, a pesar de que el desarrollador s\u00f3lo ofrece versiones para Windows y macOS\u00bb, explic\u00f3 Check Point. \u00abUna explicaci\u00f3n plausible es el uso de una granja de Android para inflar artificialmente el recuento de descargas en SourceForge\u00bb.<\/p>\n

Adem\u00e1s, las soluciones de software se promocionan a trav\u00e9s de un canal de YouTube dedicado con m\u00e1s de 91.000 suscriptores. El canal se cre\u00f3 en julio de 2020 y los operadores afirmaron que es \u00abestrictamente s\u00f3lo para fines educativos\u00bb. Los v\u00eddeos de estilo tutorial cuentan con narradores generados por IA y comentarios positivos para reforzar la ilusi\u00f3n de popularidad y confiabilidad.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Quiz\u00e1s el aspecto m\u00e1s inusual de la campa\u00f1a es el uso por parte del actor de amenazas de un servicio de distribuci\u00f3n de comunicados de prensa como Cable de prensa EIN<\/a> para comercializar las supuestas capacidades de su herramienta. Desde entonces, el comunicado de prensa ha sido sindicado<\/a> al otro lado de<\/a> fuerzas armadas pareja<\/a> sitios web de noticias<\/a>principalmente la red USA TODAY.<\/p>\n

\u00abManipular el sentimiento y la reputaci\u00f3n en plataformas colaborativas marca un cambio significativo en la forma en que los atacantes generan confianza\u00bb, afirm\u00f3 Check Point. \u00abEl mismo manual de reputaci\u00f3n falsa y promoci\u00f3n agresiva entre plataformas puede distribuir f\u00e1cilmente ladrones de informaci\u00f3n o ransomware a objetivos de mayor valor con el tiempo\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado que un actor de amenazas desconocido aprovecha publicaciones pagadas o promocionadas en sitios web de noticias leg\u00edtimos para generar expectaci\u00f3n sobre su warez, seg\u00fan nuevos hallazgos de Check Point Research. El actor de amenazas tambi\u00e9n tiene a su disposici\u00f3n una p\u00e1gina de phishing de WordPress dedicada que act\u00faa como centro central, junto […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[883,708,133,3172,3175,223,24,295,336,3174,3173,3176],"class_list":["post-1226","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusa","tag-artificial","tag-campana","tag-clipper","tag-comentarios","tag-crypto","tag-cyberdefensa-mx","tag-falsas","tag-inteligencia","tag-narradores","tag-resenas","tag-virustotal"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1226"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1226\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}