Ciberguerra por criptoactivos: gusanos USB, reputaciones falsas y nuevos troyanos Android — resumen de amenazas

En la última semana, el panorama de las ciberamenazas en el ámbito de las criptomonedas ha experimentado varios cambios significativos. Mis colegas y yo hemos analizado los incidentes más peligrosos que amenazan directamente tanto a inversores minoristas como a actores institucionales. Desde gusanos USB que se autopropagan hasta complejos esquemas de ingeniería social, el arsenal de los atacantes es cada vez más sofisticado.
La reputación falsa como arma: criptoclippers en GitHub y YouTube
Los atacantes han lanzado una campaña para introducir criptoclippers, utilizando métodos de marketing legítimos para crear una falsa "economía de reputación". El objetivo final es suplantar datos en el portapapeles para robar criptomonedas bajo la apariencia de herramientas de trading en los ecosistemas de Solana y Pump.fun.
El clipper, escrito en Rust, está dirigido a Windows y macOS. Monitorea ocultamente el portapapeles y, al detectar una dirección de billetera copiada, la reemplaza instantáneamente por los datos del hacker. Para generar confianza, el atacante ha construido una compleja infraestructura de "redes fantasma": en VirusTotal, cuentas falsas dejaban comentarios positivos masivamente para clasificar erróneamente los archivos maliciosos como seguros. En SourceForge, el contador de descargas se infló artificialmente a 44,000 mediante una granja de dispositivos Android, y en YouTube se utiliza un canal con más de 91,000 suscriptores para promocionar software con voces generadas por IA.
Este cambio en la táctica de ingeniería social es extremadamente peligroso. El esquema probado con éxito de inflar la reputación de forma multiplataforma podría utilizarse en el futuro para la distribución masiva de ransomware y stealers de información más complejos.
Gusano USB con funciones de autopropagación
Expertos de Microsoft han revelado los detalles de una campaña de distribución de malware autorreplicante dirigido a propietarios de criptomonedas. El proceso de infección se activa cuando la víctima abre un archivo de acceso directo (.LNK) modificado en una unidad USB. El gusano escanea el sistema, oculta los documentos originales y los reemplaza con accesos directos maliciosos. Para autopropagarse, crea una tarea programada que monitorea los puertos y se copia instantáneamente en cualquier nueva unidad USB que se conecte.
El stealer solo entra en fase activa si el "Administrador de tareas" no se está ejecutando en el sistema. Establece comunicación con un servidor de comando y control a través de Tor y, cada medio segundo, monitorea el portapapeles en busca de frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Además, cada diez segundos, el virus toma cinco capturas de pantalla y las envía a los hackers. La actividad de este gusano se ha registrado al menos desde febrero, y las principales "banderas rojas" son la actividad sospechosa en segundo plano de los procesos wscript.exe y cscript.exe.
Nuevo troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium han descubierto un troyano para Android dirigido al robo de criptomonedas. El arsenal del malware Rokarolla incluye 137 comandos remotos que permiten interceptar PINs, leer SMS, manipular el portapapeles y desactivar los mecanismos de protección integrados del sistema operativo. El software se distribuye a través de sitios web maliciosos que se hacen pasar por instaladores de TikTok y Google Chrome.
En la primera etapa, la víctima descarga un programa que simula ser un componente del sistema Google Play Protect. Utilizando ingeniería social, el dropper obliga al usuario a conceder acceso a "Accesibilidad", tras lo cual desactiva el escáner real de Play Protect. Una superposición separada imita la pantalla de bloqueo estándar de Android, lo que permite robar el PIN y obtener el control total del teléfono inteligente, incluso en estado bloqueado.
Mensajeros para recoger efectivo: nueva táctica de estafas cripto
El FBI ha informado sobre una nueva táctica de los operadores de esquemas cripto de "sacrificio de cerdos". Los atacantes han comenzado a contratar mensajeros para recoger fondos de víctimas cuyas transacciones son bloqueadas por los sistemas de seguridad bancaria. Tras convencer a la víctima de que retire efectivo, los estafadores envían un mensajero que se identifica mediante una contraseña previamente acordada. Al recibir el dinero, los hackers simulan un aumento del saldo en una billetera virtual e inician el ciclo de nuevo, exigiendo nuevos pagos para cubrir supuestos "impuestos".
Vulnerabilidad en Beats Studio Buds: escucha a través de Bluetooth
Apple ha lanzado una actualización de firmware para los Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. El problema, relacionado con una autorización incorrecta en el SDK de audio Bluetooth, permitía a un hacker dentro del alcance de Bluetooth conectar su equipo de forma remota a los auriculares sin el conocimiento del usuario. El exploit proporcionaba un control casi total sobre el dispositivo, incluida la capacidad de escuchar a través del micrófono integrado.
Mi opinión profesional: Estamos presenciando una convergencia de métodos clásicos de ciberataques con nuevas tecnologías, desde la generación de voces por IA hasta el uso de Tor para la comunicación oculta. Los inversores en criptomonedas deben revisar sus hábitos de seguridad: evitar el uso de unidades USB de fuentes desconocidas, verificar minuciosamente los permisos de las aplicaciones en Android y ser críticos con cualquier "reputación" en línea son el conjunto mínimo de medidas para proteger los activos.