{"id":1231,"date":"2026-06-18T15:48:58","date_gmt":"2026-06-18T15:48:58","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/18\/microsoft-detalla-la-campana-de-malware-windows-clipper-utilizando-el-gusano-usb-lnk-y-c2-basado-en-tor-cyberdefensa-mx\/"},"modified":"2026-06-18T15:48:58","modified_gmt":"2026-06-18T15:48:58","slug":"microsoft-detalla-la-campana-de-malware-windows-clipper-utilizando-el-gusano-usb-lnk-y-c2-basado-en-tor-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/18\/microsoft-detalla-la-campana-de-malware-windows-clipper-utilizando-el-gusano-usb-lnk-y-c2-basado-en-tor-cyberdefensa-mx\/","title":{"rendered":"Microsoft detalla la campa\u00f1a de malware Windows Clipper utilizando el gusano USB LNK y C2 basado en Tor \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Microsoft ha revelado detalles de una campa\u00f1a de eliminaci\u00f3n de criptomonedas basada en Windows que se ha dirigido a los usuarios desde febrero de 2026.<\/p>\n

\u00abEl clipper de esta campa\u00f1a se basa en Windows Script Host y en la l\u00f3gica impulsada por ActiveX para lanzar un proxy Tor incluido y sondear un servicio oculto C2. [command-and-control] servidor\u00bb, el equipo de investigaci\u00f3n de seguridad de Microsoft Defender dicho<\/a> en un an\u00e1lisis publicado el martes. \u00abLleva a cabo robo de portapapeles de alta frecuencia, exfiltraci\u00f3n de capturas de pantalla y sustituci\u00f3n de direcciones de billetera\u00bb.<\/p>\n

\u00abLa ejecuci\u00f3n de este clipper es notable porque no depende de un instalador tradicional o de una infraestructura C2 basada en IP expuesta. En cambio, implementa un cliente Tor port\u00e1til, enruta el tr\u00e1fico a trav\u00e9s de un proxy SOCKS5 local y combina el robo de datos con la ejecuci\u00f3n remota de c\u00f3digo, convirtiendo a un ladr\u00f3n con motivaci\u00f3n financiera en una puerta trasera liviana\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El malware Clipper se refiere a un tipo de software malicioso que monitorea silenciosamente el portapapeles de un usuario e intercepta datos confidenciales pegados en el b\u00fafer de corto plazo. Se dirige principalmente a las transacciones de criptomonedas sustituyendo cadenas de direcciones de billetera que coinciden con patrones de direcciones de blockchain conocidos para redirigirlas a direcciones bajo su control.<\/p>\n

Los ataques implican la distribuci\u00f3n de un archivo malicioso de acceso directo de Windows (LNK) a trav\u00e9s de dispositivos de almacenamiento USB, cuya apertura activa un componente de gusano que verifica si la m\u00e1quina ya est\u00e1 infectada y solo procede a buscar la carga \u00fatil de un servidor remoto si no est\u00e1 presente. Un segundo m\u00f3dulo implementado es el clipper que recolecta y extrae informaci\u00f3n de la billetera de criptomonedas.<\/p>\n

La carga \u00fatil LNK escanea el dispositivo USB en busca de tipos de documentos comunes como DOC, XLSX y PDF y, si los encuentra, los oculta y crea nuevos archivos LNK con los mismos nombres de archivo y que contienen argumentos que se alinean con el componente del gusano. Por lo tanto, cuando un usuario desprevenido inicia el acceso directo pensando que est\u00e1 abriendo un documento inofensivo, se desencadena la ejecuci\u00f3n del malware.<\/p>\n

El componente del gusano, adem\u00e1s de garantizar la propagaci\u00f3n a otras unidades USB no comprometidas, implementa tareas programadas como una forma de persistencia tanto para el componente del gusano como para el componente ladr\u00f3n. El cortapelos, por su parte, utiliza WScript y ActiveXObject para interactuar con el sistema operativo y sale si el Administrador de tareas se encuentra entre la lista de procesos en ejecuci\u00f3n activa para evadir la detecci\u00f3n.<\/p>\n

En la etapa final, el malware lanza un binario Tor renombrado en una ventana oculta, genera un identificador de v\u00edctima \u00fanico y lo registra en el servidor externo. Una vez que se completa este paso, el malware entra en un bucle continuo, sondeando peri\u00f3dicamente el servidor C2 en busca de instrucciones y al mismo tiempo monitorea el portapapeles cada 500 milisegundos para extraer frases iniciales y claves privadas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abTambi\u00e9n secuestra direcciones de criptomonedas reemplazando valores de billetera copiados con alternativas controladas por atacantes y carga capturas de pantalla a trav\u00e9s de Tor\u00bb, dijo Microsoft. \u00abSi el C2 devuelve una respuesta EVAL, el malware ejecuta el c\u00f3digo proporcionado por el atacante en tiempo de ejecuci\u00f3n\u00bb.<\/p>\n

El gigante tecnol\u00f3gico ha recomendado que los defensores den prioridad a las detecciones de comportamiento sobre las firmas est\u00e1ticas, buscando espec\u00edficamente la captura de pantalla basada en PowerShell y el uso de WScript, CScript o motores de script relacionados para iniciar curl, cmd.exe, PowerShell o ejecutables inesperados.<\/p>\n

Otras mitigaciones incluyen deshabilitar la ejecuci\u00f3n autom\u00e1tica\/reproducci\u00f3n autom\u00e1tica para todos los medios extra\u00edbles, bloquear la ejecuci\u00f3n de LNK desde unidades extra\u00edbles a trav\u00e9s de objetos de pol\u00edtica de grupo (GPO), restringir el uso innecesario de wscript.exe o cscript.exe y revisar los comportamientos relacionados con el portapapeles y las capturas de pantalla en dispositivos que manejan flujos de trabajo financieros confidenciales.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Microsoft ha revelado detalles de una campa\u00f1a de eliminaci\u00f3n de criptomonedas basada en Windows que se ha dirigido a los usuarios desde febrero de 2026. \u00abEl clipper de esta campa\u00f1a se basa en Windows Script Host y en la l\u00f3gica impulsada por ActiveX para lanzar un proxy Tor incluido y sondear un servicio oculto C2. […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[210,133,3172,24,1547,1144,1392,60,50,3183,219,330,421],"class_list":["post-1231","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-basado","tag-campana","tag-clipper","tag-cyberdefensa-mx","tag-detalla","tag-gusano","tag-lnk","tag-malware","tag-microsoft","tag-tor","tag-usb","tag-utilizando","tag-windows"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1231","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1231"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1231\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1231"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1231"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1231"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}