Una peligrosa campaña de malware ha estado atacando silenciosamente a usuarios de criptomonedas al esconderse dentro de una versión falsa de Proxifier, una popular herramienta de software proxy. Los actores maliciosos crearon un repositorio en GitHub diseñado para parecer un descargador legítimo de Proxifier, pero el instalador incluido en realidad es un Troyano que monitorea y secuestra la actividad del portapapeles para robar fondos de carteras de criptomonedas. El ataque comienza de manera muy común. Un usuario busca “Proxifier” en un motor de búsqueda popular, y uno de los primeros resultados apunta directamente al repositorio malicioso en GitHub. La página del proyecto parece auténtica — incluso muestra código fuente para un servicio proxy básico. En la sección de Releases, los visitantes encuentran un archivo descargable que contiene un ejecutable y un documento de texto con claves de activación del software, lo que hace que todo el paquete parezca confiable. Lo que el usuario no sabe es que el ejecutable es un envoltorio malicioso construido alrededor del instalador genuino de Proxifier.

Investigadores de Securelist identificaron esta campaña a principios de 2026, con el analista Oleg Kupreev señalando que había estado activa desde principios de 2025. Los investigadores describieron la cadena de infección como inusualmente larga, con múltiples etapas en capas diseñadas para mantener el malware oculto durante todo el proceso. Desde principios de 2025, más de 2,000 usuarios de soluciones de seguridad de Kaspersky se han encontrado con esta amenaza, con la mayoría de las víctimas ubicadas en India y Vietnam. ClipBanker es un Troyano que secuestra el portapapeles, creado específicamente para atacar a usuarios de criptomonedas. Cada vez que una víctima copia una dirección de cartera —por ejemplo, para enviar fondos a alguien—, el malware la reemplaza silenciosamente con una dirección propiedad de los atacantes. La amenaza cubre más de 26 redes blockchain, incluyendo Bitcoin, Ethereum, Solana, Monero, Dogecoin, TRON, Ripple, Litecoin y muchas otras, lo que les da a los atacantes un alcance muy amplio en diferentes ecosistemas de criptomonedas. Lo que hace que esta campaña sea particularmente efectiva es lo convincente que está empaquetada. Los atacantes han estado impulsando activamente su repositorio malicioso en GitHub a través de los resultados de los motores de búsqueda, asegurándose de que más usuarios lo encuentren. Un usuario que descarga lo que parece ser un software legítimo gratuito no tendría ninguna razón obvia para sospechar nada —hasta que su criptomoneda desaparece silenciosamente.

Dentro de la cadena de infección: cómo ClipBanker evade la detección

Una vez que el usuario ejecuta el instalador troyanizado, el malware comienza a actuar de inmediato. Su primer movimiento es crear un pequeño archivo auxiliar —de aproximadamente 1.5 KB— en la carpeta temporal del sistema, con un nombre que imita un proceso legítimo de Proxifier. Una aplicación .NET llamada api_updater.exe se inyecta en este archivo auxiliar para agregar silenciosamente exclusiones de Microsoft Defender para archivos TMP y el directorio actual. Este paso asegura que las siguientes etapas de la infección se ejecuten sin activar alertas de seguridad. Mientras el instalador real de Proxifier se abre en primer plano para mantener a la víctima tranquila e inconsciente, el Troyano continúa trabajando en segundo plano. Inyecta otro módulo —proxifierupdater.exe— que a su vez introduce código malicioso en conhost.exe, una utilidad de sistema de Windows confiable. A través de este proceso, un script de PowerShell ofuscado se ejecuta directamente en memoria, sin dejar rastro visible en el disco duro. Este enfoque sin archivos es lo que hace que el malware sea tan difícil de detectar y eliminar a tiempo. El script de PowerShell maneja varias tareas clave: agrega procesos de PowerShell y conhost a la lista de exclusiones de Defender, almacena un script codificado dentro de una clave de registro en HKLM\SOFTWARE\System::Config, y registra una tarea programada llamada “Maintenance Settings Control Panel” que se activa cada vez que el usuario inicia sesión. La tarea lee el script almacenado, lo decodifica y descarga la siguiente carga útil desde servicios tipo Pastebin. Después de una última descarga desde GitHub, el shellcode se inyecta en fontdrvhost.exe, donde ClipBanker comienza a monitorear silenciosamente el portapapeles en busca de cualquier dirección de cartera de criptomonedas para reemplazar. Para mantenerte seguro, debes descargar software solo desde fuentes oficiales y verificadas. Se recomienda encarecidamente ejecutar una solución de seguridad confiable y actualizada, ya que puede detener infecciones antes de que causen daño real. Si no tienes acceso a una herramienta de seguridad de pago, debes verificar cuidadosamente cada fuente de descarga antes de ejecutar cualquier archivo.

Fuentes:
https://cybersecuritynews.com/hackers-use-fake-proxifier-installer-on-github/