Un sofisticado keylogger basado en Windows conocido como Tinkywinkey comenzó a surgir en foros subterráneos a fines de junio de 2025, dirigidos a puntos finales empresariales e individuales con sigilo sin precedentes.
A diferencia de las herramientas de keylogging tradicionales que se basan en ganchos simples o procesos en modo de usuario, TinkyWinkey aprovecha los componentes duales (un servicio de Windows y una carga útil DLL inyectada) para permanecer ocultos mientras cosechan datos contextuales ricos.
La emergencia del malware subraya una evolución preocupante en las tácticas de actores de amenaza, combinando perfiles de sistema profundo con captura de teclado de bajo nivel para ofrecer un objetivo muy atractivo para el espionaje y el robo de credenciales.
El vector de ataque de Tinkywinkey generalmente comienza con la instalación de un servicio malicioso llamado “Tinky”. Instalado a través de llamadas de API SCM, el servicio está configurado para el inicio automático, lo que garantiza la persistencia incluso en los reinicios del sistema.
Tras la activación, el hilo del trabajador de servicio genera el módulo de keylogging primario (WinKey.exe) dentro de la sesión de usuario activo invocando CreateProcesSasUser en un token de usuario duplicado.
Almacenamiento de Keylogging (Fuente – Cyfirma)
Este enfoque no solo evita ventanas de consola visibles, sino que también obtiene acceso directo a los contextos de escritorio en modo de usuario. Los analistas de Cyfirma señalaron que esta técnica permite que el malware se ejecute perfectamente bajo privilegios de usuario estándar mientras mantiene sigiloso dentro de los procesos del sistema.
Una vez cargado, el componente de Keylogger emplea ganchos de bajo nivel (WH_Keyboard_ll) para interceptar cada pulsación de teclas, incluidas las teclas multimedia, las combinaciones de modificadores y los caracteres Unicode.
El malware mantiene un bucle de mensajes continuo para enviar eventos capturados, correlacionando cada pulsación de tecla con el título de la ventana de primer plano y el diseño actual del teclado.
Investigadores de Cyfirma identificado Ese tinkywinkey detecta dinámicamente los cambios de diseño a través de las manijas de HKL, los eventos de registro cada vez que la víctima cambia entre idiomas.
Esto asegura que los atacantes puedan reconstruir con precisión las entradas multilingües, una característica que a menudo se pasa por alto por keyloggers más simples.
TinkyWinkey es un proyecto basado en Windows (fuente-Cyfirma) typedef Long (winapi *rtlgetversionPtr) (prtl_osversionInfow); void log_windows_version () {hmodule hmod = loadLibraryW (l “ntdll.dll”); if (hmod) {rtlgetVersionPtr fn = (rtlgetVersionPtr) getProcAddress (hmod, “rtlgetVersion”); Rtl_osversionInfow rovi = {sizeof (rovi)}; if (fn (& rovi) == 0) {char buffer (128); SnPrintf (búfer, sizeof (búfer), “Versión de Windows: %ld. %ld (compilación %ld) \ n”, rovi.dwmajorversion, rovi.dwminorversion, rovi.dwbuildnumber); write_to_file (buffer); }}}
Mecanismo de infección y tácticas de persistencia
El mecanismo de infección de Tinkywinkey depende de su persistencia basada en el servicio e inyección de DLL sigilosa. Después de establecer el servicio “tinky”, el cargador resuelve el PID de un proceso confiable, la mayoría de los exploradores.
Al obtener un mango con Process_All_Access, asigna la memoria en el proceso de destino a través de VirtualLoCex y escribe la ruta completa a Keylogger.dll.
Una llamada posterior a CreaterMotethread, apuntando a LoadLibraryw, obliga al proceso de confianza a cargar el DLL malicioso.
Servicio de Windows malicioso llamado ‘Tinky’ (fuente – Cyfirma)
Este método de inyección remota no solo oculta el código de keylogging dentro de un proceso legítimo, sino que también evade muchas soluciones de protección de puntos finales que monitorean los ejecutables independientes.
Una llamada final de WaitForSingleObject garantiza que la inyección se complete limpiamente antes de que se cierren los mangos, preservando la estabilidad del sistema y enmascarando aún más el compromiso del análisis forense.
A través de su ejecución combinada de servicios e inyección precisa de DLL, TinkyWinkey logra un nivel de sigilo y resiliencia rara vez visto en malware de productos básicos, lo que hace que las estrategias de detección y eliminación tradicionales insuficien en los entornos modernos de Windows.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
