Investigadores de seguridad de Cyble han descubierto un nuevo malware para Linux llamado ClipXDaemon, que secuestra direcciones de billeteras de criptomonedas alterando el contenido del portapapeles en sistemas basados en X11. El malware opera sin servidores de comando y control, monitoreando y reemplazando direcciones en tiempo real para redirigir fondos a los atacantes. Utiliza un proceso de infección de múltiples etapas y emplea técnicas de sigilo para evadir la detección.
ClipXDaemon, identificado por los Laboratorios de Investigación e Inteligencia (CRIL) de Cyble, surgió a principios de febrero de 2026 y apunta a entornos de escritorio Linux que ejecutan la interfaz gráfica X11. El malware llega mediante una cadena de infección de tres etapas: un cargador cifrado generado por el marco de código abierto bincrypter, un dropper residente en memoria que descifra mediante AES-256-CBC y descompresión gzip, y una carga útil ELF en disco escrita en ~/.local/bin/ con un nombre de archivo aleatorio de ocho a diecinueve caracteres. Para la persistencia, el dropper añade un comando de ejecución al archivo ~/.profile del usuario, asegurando que se ejecute al iniciar sesión sin necesidad de privilegios de root. Al activarse, ClipXDaemon verifica la presencia de una sesión X11; si se detecta Wayland, se termina inmediatamente debido a las restricciones de Wayland en el acceso global al portapapeles. Luego se daemoniza mediante un proceso de doble fork, cierra descriptores de archivos y se renombra a “kworker/0:2-events” usando prctl(PR_SET_NAME) para imitar un hilo de trabajo del kernel, mezclándose en las listas de procesos de herramientas como ps o top. La funcionalidad principal implica sondear el portapapeles cada 200 milisegundos mediante APIs de X11 como XConvertSelection y XGetWindowProperty. Escanea patrones que coinciden con ocho criptomonedas —Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple y TON— utilizando expresiones regulares cifradas descifradas con ChaCha20. Cuando se encuentra una coincidencia, reemplaza el contenido con direcciones controladas por los atacantes antes de que ocurra el pegado. Se han confirmado billeteras de reemplazo para Ethereum (0x502010513bf2d2B908A3C33DE5B65314831646e7), Bitcoin (bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle) y otras para Monero, Dogecoin, Litecoin y Tron. No se observaron reemplazos para TON y Ripple, aunque se monitorean. Notablemente, ClipXDaemon carece de cualquier actividad de red, sin dominios o direcciones IP incrustadas, y no realiza consultas DNS ni conexiones. Este diseño sin C2 permite la monetización directa sin infraestructura remota. El cargador comparte similitudes estructurales con el malware ShadowHS de enero de 2026, pero los investigadores no encontraron evidencia de operadores compartidos, atribuyendo las superposiciones al uso común de bincrypter. Los expertos recomiendan migrar a Wayland, auditar ~/.profile y ~/.local/bin/, y verificar manualmente las direcciones de las billeteras antes de las transacciones. La carga útil ELF evadió la detección en VirusTotal en el momento del análisis.
