Una sofisticada campaña de malware basada en un "clipper", un secuestrador de portapapeles diseñado para robar criptomonedas de usuarios desprevenidos, fue revelada por Check Point Research.
A diferencia de otras amenazas que buscan la invisibilidad, este malware se esfuerza por simular una gran popularidad para generar una falsa sensación de confianza en las víctimas.
La amenaza se oculta tras supuestas herramientas de "ventaja injusta", como bots para Solana y Pump.fun, o predictores de resultados para juegos y apuestas online como el "Aviator Predictor", dirigidos a personas que buscan ganancias rápidas.
El atacante actúa más como un experto en marketing digital que como un hacker tradicional, utilizando tácticas de posicionamiento para impulsar la descarga de su software malicioso.
La estrategia incluye inflar artificialmente el número de descargas y orquestar una oleada de reseñas de cinco estrellas en plataformas de confianza para los usuarios.
Además, la campaña utiliza vídeos tutoriales con un estilo similar al de los influencers de tecnología, pero que en realidad son falsos recorridos personales guiados por una voz sintética de inteligencia artificial. El resultado final es una economía de reputación falsa que rodea a la supuesta herramienta en todas las plataformas que una víctima podría consultar antes de decidirse a descargarla.
Redes Fantasma y Popularidad Fabricada
La estratagema de popularidad fabricada se sustenta en la creación de "redes fantasma", que son grupos de cuentas falsas o de baja calidad utilizadas para inflar las métricas que las personas suelen interpretar como señales de seguridad de forma instintiva.
En la plataforma GitHub, por ejemplo, Check Point Research documentó cómo al menos seis cuentas vinculadas entre sí promocionaban sus repositorios, acumulando estrellas, bifurcaciones y descargas ficticias desde perfiles controlados por el atacante.
Esta técnica de manipulación ya había sido documentada previamente en otras redes fantasma operantes dentro de GitHub.
Las cifras son elocuentes: un solo repositorio mostraba 146 estrellas y 62 bifurcaciones, métricas que un usuario podría considerar altas y confiables.
Por otro lado, en SourceForge, el contador de descargas alcanzó la alarmante cifra de 44.485.
Lo llamativo de este dato es que 37.460 de esas descargas supuestamente prevenían de dispositivos Android, a pesar de que el desarrollador malicioso solo ofrece versiones compatibles con los sistemas operativos Windows y macOS. Una explicación plausible para esta inconsistencia es el uso de una granja de dispositivos Android para inflar artificialmente el contador de descargas en la plataforma SourceForge.
En la red social YouTube se repite la misma estrategia, al generar picos de visualizaciones y poblando las secciones de comentarios con elogios coordinados y muy entusiastas que buscan dar una apariencia de autenticidad.
Manipulando la Reputación en VirusTotal
La evolución más trascendental identificada en esta campaña no está dirigida a engañar a las personas, sino a confundir a las propias herramientas de seguridad encargadas de protegerlas.
Check Point Research observó cuentas que emitían votos positivos y publicaban comentarios indicando que las muestras de la campaña eran "seguras" dentro de VirusTotal.
Esta plataforma agrega detecciones de decenas de motores de seguridad y sus datos alimentan los modelos de reputación en los que confían muchas organizaciones y sistemas automáticos para identificar amenazas en tiempo real.
La interacción positiva de estas cuentas fantasma no es la causa directa de las bajas tasas de detección del malware por parte de los antivirus. Sin embargo, la combinación es clave para el éxito del ataque: un archivo malicioso que ya de por sí tiene pocas detecciones iniciales se beneficia enormemente de un coro de comentarios que indican que "parece limpio".
Esto crea una poderosa y falsa impresión de seguridad que puede influir tanto en los usuarios finales que consultan VirusTotal como en las decisiones automatizadas de sistemas de seguridad basados en la reputación del archivo.
En otras palabras, los atacantes ya no solo intentan evadir la detección de un antivirus, sino que también buscan manipular las señales de confianza globales de las que depende cada vez más la detección proactiva de amenazas. Complementando esta táctica, los atacantes publican en comunidades consolidadas de criptomonedas como BitcoinTalk, alcanzando a su público objetivo en los foros donde este ya se reúne para discutir sobre inversiones.
Funcionamiento Técnico del Clipper en Rust
Más allá de la elaborada estrategia de reputación falsa para lograr descargas, el malware en sí mismo es técnicamente sencillo. Se trata de un clipper, o secuestrador de portapapeles, desarrollado en el lenguaje de programación Rust, con versiones específicas tanto para Windows como para macOS.
Una vez que se ejecuta en el equipo de la víctima, el malware se instala silenciosamente para garantizar su persistencia y comienza a monitorizar el portapapeles. El objetivo es identificar cualquier cadena de texto que se asemeje a una dirección de monedero de criptomonedas, como Bitcoin, Ethereum, Litecoin, Tron, XRP o Cardano.
Cuando detecta una coincidencia, el malware reemplaza la dirección copiada por la víctima por una dirección controlada por el atacante. Esta dirección de destino se obtiene de una extensa lista que el malware tiene integrada en su propio código, para abarcar diferentes tipos de monederos de distintas criptomonedas.
De esta forma, si el usuario copia una dirección para realizar un envío de fondos, el clipper la sustituye por la del atacante, que recibirá las criptomonedas. Ante esta amenaza, Check Point Research ofrece una serie de recomendaciones para los usuarios para evitar caer en la trampa.
La primera recomendación es no confiar en las métricas de interacción, como estrellas o descargas, como un indicador de seguridad, ya que se pueden falsificar fácilmente. Además, aconsejan ser extremadamente escépticos con herramientas "periféricas" como bots para criptomonedas o predictores de juegos, que suelen ser un cebo clásico para ataques.
Por último, para usuarios de macOS, advierten sobre no ejecutar "desbloqueadores" que indiquen omitir las advertencias del sistema de seguridad Gatekeeper.
