Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya d'atac de Windows Crypto Clipper

Campanya d'atac de Windows Crypto Clipper

El Mezo el Programari maliciós, Ladrons
Traduir a:

Investigadors de seguretat han revelat detalls d'una sofisticada operació de retall de criptomonedes basada en Windows que ha estat activa des del febrer del 2026. La campanya utilitza programari maliciós de monitorització del porta-retalls capaç d'autopropagació i aprofita la xarxa d'anonimat Tor per ocultar la seva infraestructura de comunicacions.

A diferència de les operacions convencionals de programari maliciós que es basen en instal·ladors estàndard o servidors de comandament i control (C2) exposats públicament, aquesta amenaça implementa un client Tor portàtil i encamina tot el trànsit a través d'un proxy SOCKS5 local. En combinar el robatori de criptomonedes, l'exfiltració de dades i les capacitats d'execució remota de codi, el programari maliciós no només funciona com un clipper, sinó també com una porta del darrere lleugera.

Com funciona el programari maliciós Clipper

El programari maliciós Clipper està dissenyat per monitoritzar silenciosament l'activitat del porta-retalls d'una víctima i interceptar informació sensible copiada a la memòria. El seu objectiu principal és manipular les transaccions de criptomoneda identificant adreces de moneder associades amb formats de blockchain coneguts i substituint-les per alternatives controlades per l'atacant. Com a resultat, els fons destinats a destinataris legítims es poden redirigir sense el coneixement de la víctima.

Aquesta campanya es basa en Windows Script Host i funcionalitats basades en ActiveX per iniciar un proxy Tor integrat i comunicar-se amb un servidor C2 de servei ocult. El programari maliciós realitza vigilància contínua del porta-retalls, captura captures de pantalla, roba informació relacionada amb criptomonedes i substitueix les adreces de les carteres en temps real.

Funcionalitat de cadena d’infecció i cucs basada en USB

L'atac comença amb la distribució de fitxers maliciosos de dreceres de Windows (LNK) a través de dispositius d'emmagatzematge USB extraïbles. Quan una víctima obre una d'aquestes dreceres, s'activa un component de cuc. El programari maliciós primer determina si el sistema ja ha estat infectat i descarrega la càrrega útil restant només si no es detecta cap infecció prèvia.

La càrrega útil LNK cerca activament els dispositius USB connectats en formats de documents d'ús comú, com ara fitxers DOC, XLSX i PDF. Un cop descoberts, aquests fitxers s'amaguen i es substitueixen per fitxers de dreceres maliciosos amb noms idèntics. Aquesta tècnica enganyosa augmenta la probabilitat que els usuaris executin el programari maliciós sense saber-ho mentre intenten obrir el que sembla un document legítim.

Més enllà del compromís inicial, el cuc és responsable de propagar la infecció a altres dispositius USB no infectats. També estableix la persistència creant tasques programades tant per al cuc com per als components lladres.

Evasió avançada i execució persistent d’ordres

El component clipper utilitza WScript i ActiveXObject per interactuar directament amb el sistema operatiu. Per reduir la probabilitat de detecció, el programari maliciós comprova els processos actius i es tanca si s'està executant el Gestor de tasques.

Durant la fase final d'execució, s'inicia un binari de Tor rebatejat en una finestra oculta. El programari maliciós genera un identificador únic de víctima i el registra amb la seva infraestructura remota. Després del registre, entra en un bucle operatiu continu, sol·licitant ordres al servidor C2 mentre supervisa el contingut del porta-retalls aproximadament cada 500 mil·lisegons.

A més de recopilar dades de moneders de criptomonedes, frases inicials i claus privades, el programari maliciós captura captures de pantalla i les transfereix a través de la xarxa Tor. Si el servidor C2 respon amb una ordre EVAL, el codi proporcionat per l'atacant s'executa dinàmicament al sistema compromès, cosa que amplia significativament les capacitats de l'amenaça.

Indicadors clau i recomanacions defensives

Es recomana als equips de seguretat que se centrin en tècniques de detecció de comportament en lloc de confiar únicament en signatures de programari maliciós estàtic. Cal prestar especial atenció a l'activitat sospitosa de captura de pantalla basada en PowerShell i a l'ús inusual de motors d'script de Windows com ara WScript o CScript per iniciar utilitats com ara curl, cmd.exe, PowerShell o altres executables inesperats.

Les mesures defensives recomanades inclouen:

  • Desactivació de les funcionalitats d'execució automàtica i reproducció automàtica per a tots els suports extraïbles, bloqueig de l'execució de fitxers LNK des de dispositius USB mitjançant objectes de política de grup (GPO) i limitació de l'ús innecessari de wscript.exe i cscript.exe.
  • Sistemes de monitorització que gestionen operacions financeres o relacionades amb criptomonedes per detectar activitat anormal al porta-retalls, comportament no autoritzat de captura de pantalla i comunicacions de xarxa sospitoses relacionades amb Tor.

Per què destaca aquesta amenaça

Aquesta campanya demostra la creixent sofisticació del programari maliciós amb motivació financera. Combinant la propagació de cucs basats en USB, el segrest del porta-retalls, les comunicacions ofuscades per Tor, l'exfiltració de captures de pantalla i l'execució remota de codi en un únic conjunt d'eines, els operadors han creat una amenaça versàtil capaç tant de robar actius de criptomoneda com de mantenir l'accés a llarg termini als sistemes infectats. L'ús d'infraestructures de serveis ocults complica encara més els esforços de detecció i eliminació, fent que la monitorització proactiva del comportament sigui una estratègia de defensa crítica.

Articles Relacionats

Campanya d'atac de FrostArmada a l'APT28

Amenaça persistent avançada (APT), Programari maliciós, Phishing
Una sofisticada operació de ciberespionatge atribuïda al grup d'amenaces APT28, vinculat a Rússia, també conegut com a Forest Blizzard, ha aprofitat una infraestructura de xarxa vulnerable per dur a terme vigilància a gran escala. Activa des d'almenys el maig del 2025, la campanya, amb nom en clau FrostArmada, es va centrar en comprometre encaminadors insegurs MikroTik i TP-Link,...

Campanya d'atac de ransomware Medusa

Amenaça persistent avançada (APT), Ransomware
L'actor de pirateria vinculat a Corea del Nord conegut com a Lazarus Group, també rastrejat com a Diamond Sleet i Pompilus, ha estat observat desplegant el ransomware Medusa en un atac contra una organització anònima a l'Orient Mitjà. Els investigadors de seguretat també van identificar un intent d'intrusió fallit per part dels mateixos actors dirigit a una organització sanitària als Estats...

Campanya d'atac de l'Operació Olampa

Amenaça persistent avançada (APT), Programari maliciós
El grup cibernètic MuddyWater, alineat amb l'estat iranià, també conegut com a Earth Vetala, Mango Sandstorm i MUDDYCOAST, ha llançat una nova campanya cibernètica anomenada Operació Olalampo. L'operació s'ha dirigit principalment a organitzacions i individus de tota la regió de l'Orient Mitjà i el Nord d'Àfrica (MENA). Detectada per primera vegada el 26 de gener de 2026, la campanya introdueix...
Carregant...