Malware clipper: la nueva estafa que manipula VirusTotal y GitHub

En el ecosistema de la ciberseguridad, el sigilo absoluto solía ser la regla de oro de los desarrolladores de amenazas. Los troyanos y los ladrones de información se diseñaban para operar en las sombras, evadiendo la telemetría mediante complejas técnicas de ofuscación y cifrado. Sin embargo, una reciente y alarmante investigación publicada por Check Point Research revela un cambio de paradigma radical: los atacantes ahora están construyendo una ilusión de confianza masiva mediante una “economía de reputación falsa”. El objetivo de esta elaborada operación de ingeniería social es distribuir un peligroso malware clipper diseñado para vaciar de manera silenciosa las billeteras de criptomonedas de usuarios de Windows y macOS.

Este esquema de distribución no se apoya en sofisticados exploits de día cero (zero-day), sino en la manipulación sistemática de las métricas de popularidad en las que los usuarios y los sistemas de seguridad confían habitualmente. Al imitar las estrategias de posicionamiento de las marcas legítimas, los operadores detrás de esta campaña han creado lo que los analistas denominan “Ghost Networks” (Redes Fantasma). Estas redes automatizadas inflan artificialmente la credibilidad de sus herramientas maliciosas en plataformas críticas como GitHub, SourceForge, YouTube e incluso VirusTotal, derribando los filtros de sospecha tanto de humanos como de algoritmos de seguridad.

La economía de la confianza manipulada: ¿Qué son las “Ghost Networks”?

El ser humano es una criatura que busca la validación social antes de tomar decisiones en el entorno digital. Si un repositorio de código tiene cientos de estrellas, miles de descargas y comentarios positivos de la comunidad, asumimos de forma instintiva que es un software seguro. Los ciberdelincuentes detrás de esta campaña han explotado este sesgo cognitivo a una escala industrial. El principal señuelo de su campaña está orientado a un público muy específico: inversores de criptomonedas y apostadores en línea que buscan “atajos” para obtener ganancias rápidas de forma automatizada.

Entre las herramientas falsas promocionadas por los atacantes se encuentran:

• Sniper bots para Solana y Pump.fun: Programas automatizados que prometen comprar tokens en milisegundos apenas se lanza la liquidez en la red.
• Aviator Predictors: Herramientas diseñadas supuestamente para predecir el comportamiento y algoritmo de populares juegos de apuestas tipo crash.
• Bots de trading automatizado: Software cerrado que promete retornos de inversión garantizados mediante arbitraje o análisis algorítmico.

Para propagar estos supuestos “atajos hacia la riqueza”, los operadores de la campaña recurrieron a la infraestructura de la Web para orquestar sus Redes Fantasma. El cerebro y la marca detrás de esta operación ha sido vinculado directamente al alias de Telegram y autor de WordPress conocido como @JoseCmanXD. Se trata de un actor de amenazas activo en foros de hacking desde al menos 2019, conocido previamente por desarrollar herramientas de robo (“CryptoRipper”) y buscar métodos de automatización de tráfico.

El abuso sistemático de plataformas: GitHub, SourceForge y YouTube

La sofisticación de esta campaña radica en la omnipresencia de su maquinaria de desinformación. El atacante no se limitó a un solo canal de distribución; en su lugar, construyó un ecosistema de promoción cruzada estructurado minuciosamente en múltiples plataformas de alta credibilidad:

1. Manipulación en GitHub

Los investigadores de Check Point detectaron al menos seis cuentas de GitHub interconectadas que operaban de forma coordinada. Estas cuentas controladas por el atacante realizaban acciones de promoción cruzada constantes: se daban “estrellas” (stars) mutuamente, realizaban bifurcaciones (forks) de código y simulaban descargas masivas de los repositorios maliciosos. Uno de los repositorios infectados logró acumular rápidamente más de 146 estrellas y 62 forks, una métrica que para un desarrollador promedio representa un proyecto altamente confiable, comunitario y activo.

2. Granja de dispositivos en SourceForge

El portal de desarrollo de software libre SourceForge también fue explotado de manera creativa para manipular estadísticas. La página de perfil del atacante en esta plataforma mostraba la impresionante cifra de más de 44,485 descargas totales. Sin embargo, un análisis detallado de la telemetría reveló una anomalía insalvable: más de 37,460 de estas descargas provenían de dispositivos móviles Android. Dado que el software malicioso está diseñado de forma exclusiva para sistemas de escritorio (Windows y macOS), esto demuestra el uso de granjas de emuladores o teléfonos Android físicos encargados de realizar descargas automatizadas y repetitivas con el único fin de inflar la métrica de popularidad ante los ojos de las futuras víctimas.

3. Canales de YouTube con locución de Inteligencia Artificial

Para cerrar el círculo de la ingeniería social, el atacante configuró canales de YouTube donde presentaba detallados “tutoriales” sobre cómo configurar los bots de trading y los predictores de apuestas. Estos videos contaban con narraciones profesionales generadas por IA que emulaban la voz de influencers financieros de confianza. No obstante, lo más preocupante era la sección de comentarios: cientos de cuentas falsas (parte de la Ghost Network) inundaban los videos con testimonios entusiastas, afirmando haber ganado miles de dólares gracias al software. Además, los picos de visualización artificiales ayudaban a que el algoritmo de YouTube recomendara orgánicamente el contenido a usuarios desprevenidos.

4. Enlaces patrocinados en medios legítimos

En un movimiento sumamente audaz para dotar de máxima legitimidad a la campaña, el actor de amenazas adquirió publicaciones patrocinadas y anuncios pagados en sitios de noticias y portales legales legítimos (incluyendo The National Law Review). Estos artículos hablaban sobre las bondades de los algoritmos de trading de @JoseCmanXD y dirigían de manera directa el tráfico a un sitio web centralizado de phishing basado en WordPress, desde donde las víctimas procedían a descargar el archivo de instalación.

Envenenando el pozo: La manipulación sistemática de VirusTotal

Si la manipulación de GitHub y YouTube engaña a los usuarios humanos, el envenenamiento de los sistemas de reputación en VirusTotal está diseñado específicamente para engañar a los equipos de seguridad corporativos y a las soluciones automatizadas de detección.

VirusTotal no solo analiza archivos con motores antivirus tradicionales, sino que también aloja una comunidad global de analistas que emiten votos benignos/maliciosos y publican comentarios sobre muestras de código dudosas. Muchas herramientas modernas de orquestación de seguridad (SOAR) y plataformas de inteligencia de amenazas (TIP) utilizan las API de VirusTotal para verificar si un archivo tiene un historial limpio basado en el consenso comunitario.

El atacante detrás de esta campaña de malware clipper aprovechó un clúster de cuentas coordinadas en VirusTotal para:

1. Emitir de forma masiva votos de “archivo benigno” (upvotes comunitarios verdes) para cada una de las nuevas compilaciones del malware.
2. Escribir comentarios detallados y falsos que aseguraban que cualquier alerta detectada por los motores de seguridad era un “falso positivo” común en herramientas de trading de código cerrado.

Esta manipulación sistemática de la reputación, combinada con el hecho de que el malware recién compilado suele tener firmas que evaden la detección heurística inicial, permitió que los Indicadores de Compromiso (IOCs) maliciosos fueran clasificados erróneamente como seguros por sistemas automatizados, permitiendo su ejecución sin restricciones en entornos corporativos y personales.

Análisis técnico: Anatomía de un malware clipper multiplataforma basado en Rust

Detrás de todo el teatro mediático y la falsa popularidad se esconde una pieza de código altamente eficiente y peligrosa. El payload final es un malware clipper escrito en Rust, un lenguaje de programación moderno que los ciberdelincuentes prefieren cada vez más debido a su alta velocidad, ejecución nativa y la dificultad que presenta para los analistas al momento de realizar ingeniería inversa sobre sus binarios.

La arquitectura de este malware difiere según el sistema operativo de la víctima, demostrando que el atacante posee un conocimiento técnico profundo de la administración de sistemas tanto en entornos Windows como Apple.

El vector en Windows: El cargador .NET

En las máquinas con Windows, la infección inicial es gestionada por un cargador (loader) escrito en .NET. Una vez que este cargador se ejecuta, despliega el binario ejecutable principal en Rust. Los pasos técnicos que sigue el malware en este entorno son los siguientes:

• Persistencia: El binario se copia de manera silenciosa en el directorio de datos del usuario local: %APPDATA%\silke\silke.exe. Posteriormente, genera un archivo