Los investigadores de la firma de seguridad Cyble han alertado sobre la existencia de un nuevo malware que ha sido denominado "Keona Clipper" por su desarrollador.
Cuando accede a un equipo o dispositivo, Keona Clipper es capaz de suplantar el número de una billetera de criptomonedas del usuario almacenado en el portapapeles por una controlada por un pirata.
Así puede robar más de una docena de criptomonedas diferentes: BTC, ETH, LTC, XMR, XLM, XRP, NEC, BCH, ZCASH, BNB, DASH, DOGE, USDT TRC20 y monedas ADA.
La herramienta maliciosa puede encontrarse en un foro de habla rusa de la Dark Web ofreciéndose a la venta por 49 dólares al mes. Sus características hacen que resulte complicado realizar ingeniería inversa sobre él para poder analizarlo en profundidad.
Los expertos han podido encontrar más de 90 muestras diferentes de Keona desde el pasado mes de mayo, una cifra que permite hacerse una idea de su gran despliegue.
No obstante, las variantes podrían ser solo ligeras modificaciones que se realizan para que el malware pueda pasar desapercibido en la detección de aquellas soluciones de seguridad basadas únicamente en la firma del archivo.
Después de haberse ejecutado, Keona Clipper se comunica con un bot de Telegram controlado por un atacante mediante la API de la herramienta de mensajería.
Así operan los clippers
Esta amenaza pertenece a los denominados 'clippers' de malware, piezas de software que cuando se ejecutan en un ordenador comprueban constantemente el contenido del portapapeles o bloc de notas, buscando billeteras de criptomonedas.
Si el usuario hace un copia-pega en cualquier lugar, este es reemplazado por un wallet perteneciente a los cibermalos, a donde son enviadas las divisas digitales sin que los usuarios se percaten de ello. Así, la billetera es reemplazada por la fraudulenta de manera silenciosa.
Como la longitud de los wallets de criptomonedas es notable y eso los hace difíciles de memorizar, este fraude suele funcionar bastante bien.
El primer malware clipper apareció en 2017 en los sistemas operativos Windows y allá por 2019 pasó también a Android. Este se hacía pasar por el popular wallet MetaMask.