Microsoft descubre una puerta trasera autopropagable que roba criptomonedas: cómo funciona la amenaza

El malware centrado en robar carteras de criptomonedas no es nuevo, pero la variante que el equipo de Threat Intelligence de Microsoft documentó la semana pasada merece una mención aparte por sus innovaciones estructurales. Como recoge Ars Technica, la muestra a la que se asignó el nombre interno «SpyloaderX» combina el comportamiento clásico de un troyano con capacidad de autopropagación.

El vector de infección, en su forma más común, es el archivo adjunto tradicional de phishing. Ejecutables de Windows incrustados en archivos comprimidos pasan desapercibidos para las bases de firmas habituales de los escáneres de correo. Microsoft mostró que, desde los primeros casos, diferentes variantes utilizan el mismo módulo central.

El primer rasgo técnico destacado es la imitación de procesos. Al arrancar, el atacante crea puntos de entrada con el nombre de un proceso conocido como el controlador de servicios del sistema operativo Windows. Esto ayuda a evadir los disparadores basados en comportamiento de las soluciones EDR.

El segundo rasgo es la amplitud del catálogo de rutas objetivo. Según el análisis de Microsoft, el malware está programado para rastrear los directorios que MetaMask, Trust Wallet, Exodus, Electrum y el clásico Bitcoin Core usan para guardar los archivos de cartera. El punto más crítico es la búsqueda de frases semilla de respaldo guardadas sin conexión.

El tercer rasgo es la autopropagación. Tras infectar el equipo anfitrión, el malware ejecuta un ciclo de barrido de la red local; las copias colocadas en recursos compartidos SMB continúan la cadena cuando otros usuarios inician sesión. Microsoft afirma que es la primera muestra que combina con tanta claridad el comportamiento clásico de gusano con un troyano de robo de criptomonedas.

Más que un modelo de distribución masiva, los objetivos parecen elegidos, lo que da otra clave al análisis. Una parte importante de los casos actuales proviene de redes de empresas medianas de Europa del Este, Sudeste Asiático y Brasil. Microsoft sostiene que esa concentración geográfica probablemente esté ligada al canal de distribución de la campaña.

Las cifras concretas del daño financiero aún no se han revelado. Pero organizaciones consultadas por Ars Technica indican que las salidas totales desde las carteras rastreadas podrían rozar los 12 millones de dólares en las últimas ocho semanas. El dinero suele enviarse en pequeñas cantidades a servicios mezcladores.

Destaca un conjunto concreto de medidas para la defensa empresarial. Primero, asegurarse de que las actualizaciones de Microsoft Defender y EDR incluyan la firma de la amenaza. Segundo, revisar los permisos de lectura/escritura de los recursos compartidos SMB a nivel empresarial. Tercero, añadir los nombres de carpeta de cartera objetivo a la lista de vigilancia para el personal financiero.

Para los usuarios individuales, la advertencia básica vuelve a la higiene estándar: nunca guardar la frase semilla ni las claves privadas en un ordenador conectado, usar almacenamiento sin conexión (idealmente una placa metálica) y una cartera de hardware. Microsoft recuerda que los propios mecanismos de copia de seguridad de las aplicaciones de cartera afectadas suelen ofrecer ya opciones sin conexión.

Panorama general: el malware contra carteras de cripto ha vivido una evolución estructural reciente en los últimos tres años. Los ataques basados en ingeniería social ceden paso de forma constante a amenazas autopropagables basadas en red. SpyloaderX es uno de los ejemplos más concretos de esa transición y un motivo más para revisar los marcos estándar de protección de activos digitales.