LA MAYORÍA DE LAS CAMPAÑAS DE MALWARE INTENTAN PASAR DESAPERCIBIDAS. ESTA, EN CAMBIO, SE ESFUERZA POR PARECER POPULAR.
Check Point Research analizó un secuestrador de portapapeles de criptomonedas (un “clipper”) oculto entre un conjunto de “herramientas” que prometen a los usuarios una ventaja injusta: los bots Solana y Pump.fun, un “Aviator Predictor” y varios predictores de fallos en juegos. Los objetivos son los poseedores de criptomonedas y los jugadores online que ya buscan atajos y ganancias rápidas y automatizadas.
Lo que hace que esta campaña sea notable no es el malware en sí —los clippers son cosa del pasado—, sino que el atacante se comporta más como un especialista en marketing que como un hacker. Para impulsar una “herramienta” maliciosa, un único actor malicioso adoptó la misma estrategia que las marcas legítimas para generar expectación: cifras de descargas infladas, reseñas coordinadas de cinco estrellas, vídeos tutoriales al estilo influencer y promoción en plataformas en las que la gente confía instintivamente. El resultado es una economía de reputación falsa que abarca todas las plataformas que una víctima curiosa podría consultar antes de hacer clic en “descargar”.
Fabricando popularidad: Redes fantasma por doquier
La ilusión se basa en redes fantasma: grupos de cuentas falsas o de baja calidad que existen para inflar las señales en las que la gente confía instintivamente.
En GitHub, al menos seis cuentas vinculadas promocionan mutuamente sus repositorios, acumulando estrellas, bifurcaciones y descargas desde cuentas controladas. Esto sigue el mismo patrón que Check Point Research documentó en las redes fantasma de GitHub. Un solo repositorio mostraba 146 estrellas y 62 bifurcaciones. En SourceForge, el contador de descargas alcanzó las 44.485, con 37.460 supuestamente provenientes de dispositivos Android, a pesar de que el desarrollador solo ofrece versiones para Windows y macOS. Una explicación plausible es el uso de una granja de Android para inflar artificialmente el número de descargas en SourceForge.
En YouTube, se repite la misma estrategia: las redes fantasma de YouTube generan picos antinaturales de visualizaciones y una sección de comentarios repleta de elogios coordinados y entusiastas. Los vídeos están diseñados como auténticos recorridos personales, con un narrador sintético generado por inteligencia artificial que guía al espectador paso a paso.
La Nueva Frontera: Envenenando los Sistemas de Reputación
La evolución más trascendental de esta campaña no va dirigida a las personas, sino a las herramientas que las protegen.
Check Point Research observó cuentas que emitían votos positivos y publicaban comentarios “seguros” sobre las muestras de la campaña en VirusTotal, una plataforma que agrega detecciones de decenas de motores de seguridad y alimenta los modelos de reputación en los que confían muchas organizaciones. La interacción positiva no causa las bajas tasas de detección, sino que la combinación es clave: un archivo malicioso con pocas detecciones y un coro de comentarios que indican que “parece limpio” crea una poderosa y falsa impresión de seguridad que puede influir tanto en los usuarios finales como en las decisiones automatizadas basadas en la reputación.
En otras palabras, los atacantes ya no solo intentan evadir la detección, sino que también intentan manipular las señales de confianza globales de las que depende cada vez más la detección.
La campaña complementa esto con publicaciones en comunidades de criptomonedas consolidadas como BitcoinTalk, llegando al público objetivo precisamente donde ya se reúne.
El malware: Un secuestrador de portapapeles multiplataforma
Más allá de la popularidad, el malware en sí es sencillo. Tanto para Windows como para macOS, el secuestrador se basa en Rust. Una vez en ejecución, instala persistencia silenciosamente y monitoriza el portapapeles en busca de cualquier cosa que se parezca a una dirección de monedero de criptomonedas: Bitcoin, Ethereum, Litecoin, Tron, XRP, Cardano, entre otras. Cuando encuentra una coincidencia, el malware la reemplaza silenciosamente por una dirección controlada por el atacante, obtenida de una extensa lista integrada.
Qué deben los usuarios
• No confíe en las métricas de interacción como indicador de seguridad. Las estrellas, las bifurcaciones, el número de descargas, los picos de visitas y los comentarios “seguros” pueden comprarse o falsificarse. La popularidad no es una señal de seguridad.
• Sea muy escéptico con las herramientas “periféricas”. Los bots de francotirador, los predictores de juegos y cualquier cosa que prometa ganancias garantizadas en criptomonedas son un cebo clásico.
• Considere las puntuaciones de reputación como un dato más, no como un veredicto definitivo. Una baja tasa de detección combinada con un sentimiento positivo de la comunidad puede ser manipulada. Combine los datos de reputación con la detección de comportamiento y su propia telemetría.
• Para usuarios de macOS: nunca ejecute un “desbloqueador” ni instrucciones que le indiquen que omita las advertencias de Gatekeeper. Ese paso es el ataque.
