Redazione RHC : 8 septiembre 2025 14:30
Investigadores de Proofpoint, líder en ciberseguridad y protección de la información, han detectado un preocupante aumento en el uso de malware de código abierto, como Stealerium y Phantom Stealer, por parte de ciberdelincuentes oportunistas. Estas herramientas, originalmente diseñadas con fines educativos, se están convirtiendo en armas eficaces para robar datos confidenciales, poniendo en riesgo la identidad y la información corporativa.
Los actores de amenazas centran cada vez más sus esfuerzos en los robos de información, ya que el robo de identidad se ha convertido en una prioridad en el panorama de la ciberdelincuencia. Si bien muchos prefieren ofertas de «malware como servicio», como Lumma Stealer o Amatera Stealer, un número creciente de delincuentes recurre a soluciones desechables o gratuitas en plataformas como GitHub. Stealerium es un excelente ejemplo.
Statealerium, que surgió en 2022 como malware de código abierto en GitHub, todavía está disponible para su descarga «solo con fines educativos». Si bien puede ser útil para que los expertos en seguridad desarrollen firmas de detección, también ofrece un peligroso «entrenamiento» a los atacantes. Estos pueden adoptar, modificar e incluso mejorar el código fácilmente, lo que resulta en variantes de malware cada vez más difíciles de detectar y combatir.
«No está claro hasta qué punto Phantom Stealer está relacionado con Stealerium, pero ambas familias comparten una gran parte de su código, y es probable que Phantom Stealer reutilizara código de Stealerium», explican los investigadores de Proofpoint. De hecho, muchas muestras analizadas hacen referencia a ambos en su código, lo que destaca una estrecha relación entre ambas amenazas.
Stealerium es un completo ladrón de información, escrito en .NET, capaz de extraer una amplia gama de datos, incluyendo: cookies y credenciales del navegador, datos de tarjetas de crédito (mediante el raspado de formularios web), Tokens de sesión de servicios de juegos (p. ej., Steam); detalles de monederos de criptomonedas; archivos confidenciales de varios tipos; datos de keylogging y del portapapeles; información sobre aplicaciones instaladas, hardware y claves de producto de Windows; datos de servicios VPN (NordVPN, OpenVPN, ProtonVPN, etc.), información de redes Wi-Fi y contraseñas.
Una característica particularmente inquietante es la capacidad de Stealerium para detectar contenido para adultos en pestañas abiertas del navegador y capturar capturas de pantalla del escritorio e imágenes de la cámara web. Esta funcionalidad puede utilizarse para tácticas de «sextorsión», un fenómeno creciente en la ciberdelincuencia.
Aunque Stealerium lleva tiempo en activo, los investigadores de Proofpoint han observado recientemente un aumento en las campañas que distribuyen código basado en este malware. En particular, una campaña de mayo de 2025 vinculada al actor TA2715 volvió a poner a Stealerium en el punto de mira, tras no haber tenido un uso significativo desde principios de 2023. TA2536, otro ciberdelincuente poco sofisticado, también lo implementó a finales de mayo de 2025, un cambio notable considerando que ambos habían optado recientemente por Snake Keylogger.
Las campañas, con volúmenes de mensajes que oscilaban entre unos pocos cientos y decenas de miles, utilizaban diversos señuelos persuasivos y mecanismos de entrega. Los correos electrónicos, que se hacían pasar por organizaciones como fundaciones benéficas, bancos, tribunales y servicios de documentación, contenían archivos adjuntos maliciosos como archivos ejecutables comprimidos, JavaScript, VBScript, archivos ISO, archivos IMG y archivos ACE. Los asuntos de los correos electrónicos, a menudo urgentes o con contenido financiero delicado («Pago pendiente», «Citación judicial», «Factura de donación»), tenían como objetivo engañar a las víctimas para que abrieran los archivos adjuntos.
Proofpoint recomienda que las organizaciones vigilen de cerca actividades como el uso de «netsh wlan», el uso sospechoso de exclusiones de PowerShell Defender y la ejecución de Chrome sin interfaz gráfica; todos comportamientos compatibles con infecciones de Stealerium. También es esencial monitorear grandes cantidades de datos que salen de la red, especialmente hacia servicios y URL no autorizados, o bloquear por completo el tráfico saliente hacia dichos servicios.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
