Detectan malware oculto en falsos complementos de Microsoft Office para robar criptomonedas

Un sofisticado engaño ha puesto en alerta a la comunidad de usuarios de criptomonedas y tecnología, tras un malware oculto en Microsoft Office. Esta amenaza, identificada recientemente por expertos en ciberseguridad, se habría camuflado como un conjunto de herramientas legítimas en plataformas de descarga populares, con el propósito de sustraer fondos digitales sin que las víctimas lo noten.

El engaño radica en el uso de falsos paquetes de complementos de Microsoft Office publicados en el portal SourceForge, una conocida plataforma de alojamiento de software. Estos archivos, aunque se presentan como inofensivos y útiles, contienen un malware apodado ClipBanker, especializado en interceptar direcciones de criptomonedas copiadas por los usuarios para redirigir el dinero a las billeteras de los atacantes.

ClipBanker: el malware oculto en Microsoft Office

ClipBanker no actúa de manera visible para el usuario, sino que espera a que este copie una dirección de billetera, práctica común cuando se realizan transferencias de criptoactivos. En lugar de mantener esa dirección, el malware la reemplaza por otra bajo el control del atacante, desviando así los fondos sin levantar sospechas inmediatas.

La firma de seguridad Kaspersky ha sido una de las primeras en investigar y alertar sobre este ataque, destacando que el nombre del paquete engañoso utilizado en algunos casos es “officepackage”. Aunque incluye componentes que aparentan ser auténticos, su verdadera intención es comprometer los sistemas de los usuarios.

Ingeniería social y técnicas de evasión avanzadas

Una de las tácticas utilizadas por los delincuentes para dar credibilidad al archivo malicioso es la creación de una página de descarga muy similar a las páginas oficiales. En ella se muestran nombres de herramientas populares y botones de instalación que simulan procesos legítimos, aumentando así la probabilidad de que el usuario caiga en la trampa.

Además de reemplazar direcciones de monederos, el malware recopila información del sistema infectado, incluyendo direcciones IP, ubicación geográfica y nombre del usuario. Esta información es transmitida a los operadores del virus mediante la plataforma de mensajería Telegram, lo que permite a los atacantes mantener un control remoto del equipo o incluso comercializar el acceso con terceros.

Detalles técnicos levantan sospechas sobre este malware oculto en Microsoft Office

Uno de los indicios más claros de que algo no va bien es el tamaño de los archivos descargados. Según Kaspersky, varias de las aplicaciones maliciosas presentan un peso inusualmente reducido, algo que no es normal en software de Microsoft Office, ni siquiera cuando está comprimido. Otros paquetes, por el contrario, están inflados con datos sin sentido para aparentar una estructura auténtica.

El malware ha sido diseñado con la capacidad de evitar su detección. Puede analizar el entorno del dispositivo para verificar si ya se encuentra presente o si hay herramientas antivirus que podrían identificarlo. En caso de que detecte alguno de estos elementos, tiene la capacidad de autodestruirse, lo que dificulta su análisis posterior por parte de expertos.

¿Usuarios objetivo? Mayormente de habla rusa

Una gran parte de las infecciones localizadas hasta el momento ha ocurrido en Rusia. El informe de Kaspersky estima que hasta un 90% de quienes han sido engañados por este esquema pertenecen a ese país. Se calcula que más de 4.600 usuarios se han topado con la trampa entre enero y marzo del presente año.

El idioma de la interfaz utilizada por los atacantes también está en ruso, lo que sugiere que este público era el objetivo principal. Sin embargo, dado que el software puede ser distribuido globalmente a través de internet, no se descarta que otros países puedan verse afectados en los próximos meses.

Recomendaciones para evitar caer en la trampa de este malware oculto en Microsoft Office

Descargar software únicamente desde fuentes oficiales es la medida más eficaz para reducir el riesgo de infecciones. Kaspersky advierte sobre el peligro de recurrir a programas pirateados o sitios alternativos, que suelen tener menos controles de calidad y verificación.

Los delincuentes siguen actualizando sus técnicas para hacer pasar sus programas por auténticos. El uso de plataformas populares y el diseño de interfaces convincentes hacen que los usuarios menos experimentados sean especialmente vulnerables.

Una amenaza en expansión más allá de Office

Este tipo de malware no es un caso aislado. Otras empresas del sector, como Threat Fabric, han reportado también la aparición de nuevas variantes que afectan específicamente a usuarios de Android. Uno de los métodos detectados consiste en mostrar pantallas falsas que solicitan la frase semilla de las billeteras, lo que permite al atacante tomar el control total del fondo digital del afectado.

La continua diversificación de los ataques demuestra que los criminales no solo buscan una ganancia inmediata. También, están dispuestos a vender el control del equipo a terceros o reutilizar la infraestructura comprometida para nuevas campañas delictivas.

La ingeniosa estrategia de ocultar malware en lo que parecen ser herramientas legítimas de Microsoft Office pone de relieve lo vulnerables que pueden ser los usuarios cuando se confían de fuentes no oficiales. Estos ataques, centrados principalmente en las criptomonedas, aprovechan la falta de conocimientos técnicos y la búsqueda de atajos por parte de los internautas.

Siempre es recomendable comprobar la procedencia del software antes de instalar y no confiar en sitios o enlaces sospechosos. Comparte la información para que más usuarios estén al tanto de la novedad y los peligros de este malware oculto en Microsoft Office.