Ciberamenazas de la semana: gusanos USB, troyanos Android y reputaciones falsas en el mundo de las criptomonedas

Esta semana, el panorama de la ciberseguridad en la criptoesfera se ha visto marcado por una serie de incidentes alarmantes. Los atacantes están perfeccionando activamente sus métodos, utilizando tanto ingeniería social como soluciones técnicas complejas. En este análisis, desglosaré los eventos clave que requieren la atención de cada participante del mercado.
Reputaciones falsas y criptoclippers: una nueva era de ingeniería social
Se ha llevado a cabo una campaña masiva de distribución de malware dirigido al robo de criptomonedas utilizando sistemas de reputación falsos. El atacante creó una infraestructura compleja de «redes fantasma» en plataformas como GitHub, YouTube y VirusTotal. La herramienta principal es un criptoclipper escrito en Rust que funciona en Windows y macOS. Monitorea el portapapeles y reemplaza las direcciones de billetera copiadas por los datos del atacante.
Para aumentar la confianza, el hacker utiliza likes inflados, cuentas falsas e incluso voces generadas por IA en videos tutoriales. En SourceForge, el contador de descargas se infló artificialmente a 44,000 utilizando una granja de dispositivos Android. Este enfoque representa un cambio peligroso en las tácticas que podría usarse para propagar amenazas más complejas, incluido el ransomware.
Gusano USB: autorreplicación a través de accesos directos ocultos de Windows
Expertos de Microsoft revelaron los detalles de una campaña que utiliza un gusano autorreplicante. La infección comienza al abrir un archivo de acceso directo (.LNK) modificado en una unidad USB. Después de eso, el malware escanea el sistema, oculta los documentos originales y los reemplaza con accesos directos maliciosos con los mismos nombres. Cada vez que el usuario intenta abrir sus archivos, se activa el malware.
El gusano utiliza Tor para comunicarse con el servidor de comando y control, y monitorea el portapapeles en busca de frases semilla BIP39 y direcciones de billetera (Bitcoin, Ethereum, Tron, Monero). Al detectarlas, las reemplaza con las direcciones del atacante. Cada diez segundos se toman cinco capturas de pantalla. La actividad se ha registrado al menos desde febrero, y los principales indicadores de infección son conductuales, no basados en firmas.
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium descubrieron un nuevo troyano Android, Rokarolla, que posee 137 comandos remotos. Se propaga a través de sitios web maliciosos que se hacen pasar por instaladores de TikTok o Google Chrome. En la primera etapa, la víctima descarga un programa que imita el componente del sistema Google Play Protect y, mediante ingeniería social, obtiene acceso a las «Funciones de accesibilidad».
Después de esto, el troyano desactiva el escáner real de Play Protect y puede interceptar códigos PIN, leer y enviar SMS, así como reemplazar el portapapeles para robar criptomonedas. También crea páginas HTML de inicio de sesión falsas para billeteras de criptomonedas y puede imitar la pantalla de bloqueo de Android. Para eludir la autenticación de dos factores (2FA), el troyano intercepta códigos de un solo uso de los SMS y puede bloquear llamadas entrantes de los sistemas antifraude de los bancos.
Vulnerabilidad en Beats Studio Buds: espionaje a través de auriculares
Apple lanzó una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. Esta brecha, descubierta por expertos de SentinelOne, permitía a los atacantes dentro del alcance de Bluetooth conectarse a los auriculares sin el conocimiento del usuario y utilizar el micrófono incorporado para espiar. El problema estaba relacionado con una autorización incorrecta en el SDK de audio Bluetooth. La vulnerabilidad otorgaba un control casi total sobre el dispositivo, incluida la lectura y reescritura de la memoria, así como la interceptación de relaciones de confianza con teléfonos inteligentes previamente emparejados.
Mi comentario: Esta semana muestra claramente que los atacantes están pasando de simples ataques de phishing a esquemas complejos de múltiples niveles. Es especialmente preocupante el uso de reputaciones falsas e ingeniería social en plataformas en las que estamos acostumbrados a confiar. Los propietarios de criptomonedas deben ser extremadamente cautelosos al instalar cualquier software, especialmente si promete ganancias fáciles. Las actualizaciones periódicas de firmware y la vigilancia al otorgar permisos son su primera línea de defensa.