Todos conocemos a Microsoft por ser el creador del sistema operativo Windows y por su gran interés en la IA al ver cada vez más en Windows 11. Aun así, no ha dejado de lado el resto de sectores a los que se dedica y aunque no lo parezca, también hace progresos en ciberseguridad, pues al final es la que está detrás del antivirus Defender que todos tenemos. Ahora nos toca hablar de Microsoft por el hecho de que ha encontrado un malware bastante único, pues es un malware tipo gusano, pero que puede robarte las contraseñas de las billeteras de criptomonedas y de ahí que lo decidieran llamar Crypto Clipper.
En España siempre hemos llamado de forma casual al malware como “virus”, pero también hemos sabido diferenciar algunos de ellos, pues son bastante únicos y distintos de los demás. Tenemos así el caso de los troyanos que aparentan ser programas inofensivos y cuando los instalas comienza el ataque. Otro tipo serían los gusanos, los cuales pueden clonarse y replicarse permitiendo que puedan infectar a varios PC en una misma red.
Microsoft detecta un nuevo malware, un gusano llamado Crypto Clipper que logra acceder a las contraseñas de los PC de sus víctimas
Microsoft ha detectado un nuevo malware que se propaga de forma automática a través de unidades USB. Si esto te suena, es que quizá te acuerdas de los “gusanos” que representaban esos virus que podían autorreplicarse de forma autónoma y solían infectar nuevos PC a través de USB, algo bastante común en la década de los 2000. Hacía tiempo que no escuchábamos sobre estos, pero el nuevo hallazgo de Microsoft determina que se trata de un Worm (gusano) al que han denominado Crypto Clipper, pues este crea una backdoor y a través de esta roba criptomonedas a sus víctimas.
Crypto Clipper se encarga de monitorizar el contenido del portapapeles y todo lo que hemos copiado a ver si detecta la contraseña del monedero o al menos pistas y patrones. Una vez encuentra algo, hace 5 capturas de pantalla en 10 segundos y el atacante recibe todo esto a través de Tor mediante un proxy SOCKS5. Lo peligroso de este sistema es que se ejecuta sin usar un .exe tradicional o una infraestructura IP expuesta. En su lugar, emplea un cliente Tor portátil con un proxy y ejecución remota del código que permite al ciberdelincuente recibir las criptomonedas.
Todo comienza con archivos .lnk infectados que comienzan el proceso de instalación del malware
Para saber si tienes peligro de ser víctima de un Worm Crypto Clipper de estos tendrás que fijarte en si hay archivos .lnk. Estos archivos que por norma general son seguros y quizás has encontrado en discos o descargas aquí cambian, pues son archivos maliciosos y continente el malware. Al conectar el USB infectado con uno de estos, se verifica si está instalado y si no, el malware lo descarga a través de Tor con proxy.
Si quieres protegerte de todo esto es obvio que necesitarás un antivirus, aunque por suerte no tendrás que buscar mucho. El propio antivirus de Windows ya lo detecta, aunque eso sí, aquí mencionan Microsoft Defender for Endpoint, la versión creada para un uso empresarial. Este Defender analiza y descubre el Crypto Clipper además de procesos de JavaScript que considere sospechosos usando Curl. Si estás infectado con uno de estos, Defender lo detectará como un troyano “Win32/CryptoBandits.A“.
La entrada Crypto Clipper: el malware que crea una puerta trasera en Windows para robar criptomonedas mediante Tor aparece primero en El Chapuzas Informático.
