Campaña de clippers en Windows explota ActiveX y Windows Script Host para robar criptomonedas

Introducción

La ciberseguridad en el ecosistema Windows vuelve a estar en el punto de mira tras la reciente divulgación de una sofisticada campaña de malware clipper dirigida al robo de criptomonedas. Microsoft ha publicado detalles técnicos sobre esta amenaza activa desde febrero de 2026, que aprovecha mecanismos internos del sistema operativo para interceptar y modificar transacciones de criptomonedas, afectando especialmente a usuarios que operan en entornos Windows y utilizan carteras digitales.

Contexto del Incidente o Vulnerabilidad

Desde principios de 2026, los analistas de Microsoft han detectado un aumento significativo en la distribución de clippers, una variante de malware especializada en interceptar y manipular el portapapeles con el objetivo de sustituir direcciones de billeteras de criptomonedas por aquellas controladas por los atacantes. Este tipo de amenaza, aunque no es nueva, muestra en esta campaña una evolución técnica relevante: la utilización conjunta de Windows Script Host (WSH) y componentes ActiveX para desplegar una infraestructura de comunicación clandestina a través de la red Tor.

Detalles Técnicos

La campaña identificada se caracteriza por los siguientes aspectos técnicos:

– **Vectores de ataque**: El clipper se distribuye principalmente mediante archivos adjuntos maliciosos y descargas de software comprometido. La ejecución inicial se produce mediante scripts VBS o JS, aprovechando Windows Script Host, lo que facilita la persistencia y evasión de mecanismos tradicionales de detección.
– **Payload**: Una vez ejecutado, el malware utiliza lógica basada en ActiveX para lanzar un proxy Tor embebido, permitiendo que el sistema infectado se conecte a un servidor C2 (Command & Control) oculto como servicio .onion.
– **Comunicación y control**: El uso de Tor dificulta la trazabilidad de las comunicaciones y la atribución del ataque. El clipper monitoriza continuamente el portapapeles, y cuando detecta un string compatible con una dirección de criptomoneda (BTC, ETH, USDT, etc.), lo reemplaza por una dirección controlada por los operadores del malware.
– **TTPs (MITRE ATT&CK)**: La campaña se clasifica bajo técnicas como T1059 (Command and Scripting Interpreter), T1071.001 (Application Layer Protocol: Web Protocols), T1090.003 (Proxy: Multi-hop Proxy), y T1567.002 (Exfiltration Over Tor).
– **Indicadores de compromiso (IoC)**: Hashes de archivos, URLs de descarga, direcciones .onion y firmas de scripts maliciosos han sido compartidas por Microsoft para ayudar a la detección y respuesta.
– **Herramientas y frameworks**: No se han detectado exploits conocidos ni el uso directo de frameworks como Metasploit o Cobalt Strike, pero sí técnicas de ofuscación avanzadas y empaquetado personalizado.

Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente para usuarios y empresas que gestionan activos en criptodivisas. El robo se produce de forma silenciosa, sin intervención visible para la víctima, lo que incrementa las probabilidades de éxito. Microsoft estima que este tipo de campañas puede estar detrás de pérdidas millonarias, considerando que solo en 2025 el robo de criptomonedas mediante malware clipper ascendió a más de 20 millones de euros a nivel global. El riesgo se amplifica en entornos empresariales donde políticas de seguridad laxa o la falta de segmentación de redes facilitan la propagación del malware.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda una serie de acciones para mitigar el riesgo:

– **Deshabilitar Windows Script Host** en sistemas donde no sea imprescindible, mediante políticas de grupo o ajustes de registro.
– **Configurar restricciones para la ejecución de controles ActiveX**, especialmente en entornos donde no se requieran.
– **Actualizar y monitorizar constantemente los endpoints** con soluciones EDR/XDR capaces de detectar scripts y conexiones anómalas, así como flujos de tráfico hacia la red Tor.
– **Formación continua a los usuarios** para evitar la apertura de archivos adjuntos sospechosos y descargas de fuentes no verificadas.
– **Implementar segmentación de red** y control de acceso a recursos sensibles.
– **Auditoría y monitorización de logs** para identificar comportamientos inusuales en el portapapeles o procesos relacionados con Tor.

Opinión de Expertos

Especialistas en ciberseguridad, como Raúl Siles (ElevenPaths) y David Barroso (CounterCraft), coinciden en que la sofisticación de estas campañas pone de relieve la necesidad de restringir al máximo los mecanismos heredados de Windows, como WSH y ActiveX, que siguen siendo vectores de ataque recurrentes. Además, advierten que la detección basada únicamente en firmas es insuficiente ante la capacidad de los atacantes para modificar rápidamente los artefactos maliciosos.

Implicaciones para Empresas y Usuarios

La amenaza de los clippers va más allá del ámbito doméstico. Empresas que operan con activos digitales, exchanges, entidades fintech y despachos que gestionan wallets corporativas están especialmente expuestos. El incumplimiento de normativas como el GDPR o la inminente NIS2 puede acarrear sanciones económicas en caso de brechas no reportadas o pérdidas de datos personales asociadas a wallets. Por tanto, es esencial revisar periódicamente las políticas de seguridad, adaptar la protección a la amenaza y fomentar una cultura de ciberhigiene.

Conclusiones

La campaña de clippers identificada por Microsoft subraya la importancia de una vigilancia activa y una defensa en profundidad en el ecosistema Windows. La combinación de técnicas tradicionales y el uso de la red Tor para eludir controles plantea nuevos retos para los equipos de ciberseguridad. La adopción de medidas proactivas, la actualización tecnológica y la formación continua son esenciales para mitigar el impacto de este tipo de amenazas emergentes.

(Fuente: feeds.feedburner.com)