AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberdelincuentes propagan malware de robo de portapapeles para criptomonedas con capacidades de autopropagación y uso de Tor**

admin

### Introducción

En los últimos meses, los equipos de respuesta a incidentes y los analistas de amenazas han detectado un aumento significativo en la distribución de malware especializado en el robo de criptomonedas mediante la manipulación del portapapeles. Esta nueva oleada de campañas maliciosas destaca por introducir capacidades de autopropagación y el uso del anonimato proporcionado por la red Tor, complicando notablemente las labores de detección, atribución y contención. El fenómeno plantea serios desafíos tanto para los responsables de la seguridad empresarial como para los operadores de infraestructuras críticas que gestionan carteras de activos digitales.

### Contexto del Incidente

El uso de malware orientado al robo de criptomonedas no es una novedad, pero la sofisticación de las técnicas utilizadas en las últimas campañas evidencia una evolución preocupante. Los ataques reportados desde finales de 2023 y a lo largo de 2024 afectan principalmente a sistemas Windows y se propagan mediante técnicas de malspam, descargas maliciosas (drive-by download) y troyanización de software legítimo, afectando tanto a usuarios particulares como a entidades que operan wallets corporativos.

Las campañas identificadas distribuyen variantes de malware clipboard stealer con funciones de gusano (worm-like), capaces de replicarse automáticamente a través de unidades USB y recursos compartidos de red. La utilización de la red Tor refuerza la resiliencia de la infraestructura de mando y control (C2), dificultando la atribución y el bloqueo de las comunicaciones maliciosas.

### Detalles Técnicos

El malware clipboard stealer está diseñado para interceptar y modificar los contenidos del portapapeles del sistema comprometido. El vector de ataque principal consiste en la monitorización continua del portapapeles en busca de cadenas que coincidan con patrones de direcciones de criptomonedas (Bitcoin, Ethereum, Litecoin, Monero, entre otras). Una vez detectada una posible transacción, el malware reemplaza la dirección legítima por una controlada por el atacante, redirigiendo así los fondos.

#### CVEs y TTPs

Aunque la familia de malware identificada no explota una vulnerabilidad concreta de día cero, sí se apoya en técnicas ampliamente documentadas en el framework MITRE ATT&CK, principalmente:

– **T1056.001 (Input Capture: Keylogging/Clipboard Data):** Monitorización y manipulación del portapapeles.
– **T1105 (Ingress Tool Transfer):** Descarga de payloads secundarios.
– **T1071.001 (Application Layer Protocol: Web Protocols):** Comunicación cifrada a través de Tor.
– **T1566 (Phishing):** Empleo de campañas de malspam como vector inicial.
– **T1204.002 (User Execution: Malicious File):** Ingeniería social para ejecución de archivos troyanizados.

El malware suele estar empaquetado en archivos ejecutables ligeros (EXE) y a menudo se distribuye mediante adjuntos ZIP o enlaces a servicios de almacenamiento en la nube comprometidos.

#### Indicators of Compromise (IoC)

– Hashes SHA256 de muestras recientes de clipboard stealers.
– Dominios de descarga y URLs asociadas a campañas.
– Patrones de tráfico saliente hacia nodos de entrada Tor (puerto 9050/9051).
– Direcciones de criptomonedas utilizadas como señuelo.

### Impacto y Riesgos

El impacto para las organizaciones y usuarios afectados es directo y devastador: la transferencia inadvertida de fondos a carteras bajo control criminal. Según estimaciones recientes, hasta un 2% de las transacciones de criptomonedas pueden estar sujetas a manipulación maliciosa del portapapeles en entornos no securizados. Los atacantes han logrado desviar sumas que, en campañas recientes, superan los 600.000 euros en criptoactivos.

Además del daño económico, la autopropagación del malware supone un riesgo adicional para entornos corporativos conectados, facilitando la lateralización del ataque y exponiendo activos críticos. El uso de Tor complica la trazabilidad forense, incrementando los tiempos de respuesta y recuperación.

### Medidas de Mitigación y Recomendaciones

– **Desplegar soluciones EDR con capacidades de monitorización de portapapeles y detección de comportamientos anómalos.**
– **Bloquear la ejecución automática de unidades USB y restringir el uso de dispositivos extraíbles.**
– **Auditar y restringir el acceso a recursos compartidos de red susceptibles de infección lateral.**
– **Actualizar de forma regular todos los sistemas y aplicar políticas de privilegios mínimos.**
– **Monitorizar el tráfico de red en busca de conexiones a nodos Tor y bloquearlas mediante listas negras.**
– **Formar a los usuarios sobre los riesgos del malspam y las descargas inseguras.**
– **Para transacciones de alto valor, verificar manualmente las direcciones de destino antes de confirmar envíos.**

### Opinión de Expertos

Especialistas en ciberseguridad consultados por BleepingComputer advierten que la combinación de técnicas de autopropagación y uso de Tor representa una “evolución natural” en la guerra contra la seguridad de los activos digitales. “El ecosistema de malware está adaptándose rápidamente a las contramedidas defensivas, priorizando la persistencia y el anonimato”, señala un analista del CERT español. Se prevé que durante 2024 aumente la sofisticación de los clipboard stealers, integrando capacidades de evasión anti-EDR y targeting personalizado en función de la criptodivisa detectada.

### Implicaciones para Empresas y Usuarios

Las empresas que gestionan activos digitales, exchanges y plataformas fintech deben revisar urgentemente sus políticas de seguridad en endpoints y reforzar la formación de sus empleados. La pérdida de fondos por este vector podría considerarse un incidente de seguridad grave bajo el RGPD (artículo 33) y la directiva NIS2, obligando a notificación ante la AEPD y autoridades competentes. El incidente demuestra la necesidad de adoptar soluciones avanzadas de threat hunting y automatización de respuesta ante incidentes.

Para usuarios particulares, la recomendación es clara: emplear carteras hardware, extremar la precaución al copiar y pegar direcciones y desconfiar de cualquier archivo o enlace recibido por canales no verificados.

### Conclusiones

El auge de los clipboard stealers con capacidades de autopropagación y uso de Tor evidencia la sofisticación creciente del cibercrimen orientado a las criptomonedas. La combinación de ingeniería social, técnicas de persistencia y anonimato exige una respuesta holística y proactiva por parte de los responsables de ciberseguridad. La detección temprana, la segmentación de redes y la consciencia del usuario son claves para mitigar el impacto de esta amenaza, que seguirá evolucionando en paralelo a las tendencias del mercado cripto y la regulación europea.

(Fuente: www.bleepingcomputer.com)