Redazione RHC : 8 septiembre 2025 14:30
Investigadores de Proofpoint, líder en ciberseguridad y protección de la información, han detectado un preocupante aumento en el uso de malware de código abierto, como Stealerium y Phantom Stealer, por parte de ciberdelincuentes oportunistas. Estas herramientas, originalmente diseñadas con fines educativos, se están convirtiendo en armas eficaces para robar datos confidenciales, poniendo en riesgo la identidad y la información corporativa.
Los actores de amenazas centran cada vez más sus esfuerzos en los robos de información, ya que el robo de identidad se ha convertido en una prioridad en el panorama de la ciberdelincuencia. Si bien muchos prefieren ofertas de «malware como servicio», como Lumma Stealer o Amatera Stealer, un número creciente de delincuentes recurre a soluciones desechables o gratuitas en plataformas como GitHub. Stealerium es un excelente ejemplo.
Statealerium, que surgió en 2022 como malware de código abierto en GitHub, todavía está disponible para su descarga «solo con fines educativos». Si bien puede ser útil para que los expertos en seguridad desarrollen firmas de detección, también ofrece un peligroso «entrenamiento» a los atacantes. Estos pueden adoptar, modificar e incluso mejorar el código fácilmente, lo que resulta en variantes de malware cada vez más difíciles de detectar y combatir.
«No está claro hasta qué punto Phantom Stealer está relacionado con Stealerium, pero ambas familias comparten una gran parte de su código, y es probable que Phantom Stealer reutilizara código de Stealerium», explican los investigadores de Proofpoint. De hecho, muchas muestras analizadas hacen referencia a ambos en su código, lo que destaca una estrecha relación entre ambas amenazas.
Stealerium es un completo ladrón de información, escrito en .NET, capaz de extraer una amplia gama de datos, incluyendo: cookies y credenciales del navegador, datos de tarjetas de crédito (mediante el raspado de formularios web), Tokens de sesión de servicios de juegos (p. ej., Steam); detalles de monederos de criptomonedas; archivos confidenciales de varios tipos; datos de keylogging y del portapapeles; información sobre aplicaciones instaladas, hardware y claves de producto de Windows; datos de servicios VPN (NordVPN, OpenVPN, ProtonVPN, etc.), información de redes Wi-Fi y contraseñas.
Una característica particularmente inquietante es la capacidad de Stealerium para detectar contenido para adultos en pestañas abiertas del navegador y capturar capturas de pantalla del escritorio e imágenes de la cámara web. Esta funcionalidad puede utilizarse para tácticas de «sextorsión», un fenómeno creciente en la ciberdelincuencia.
Aunque Stealerium lleva tiempo en activo, los investigadores de Proofpoint han observado recientemente un aumento en las campañas que distribuyen código basado en este malware. En particular, una campaña de mayo de 2025 vinculada al actor TA2715 volvió a poner a Stealerium en el punto de mira, tras no haber tenido un uso significativo desde principios de 2023. TA2536, otro ciberdelincuente poco sofisticado, también lo implementó a finales de mayo de 2025, un cambio notable considerando que ambos habían optado recientemente por Snake Keylogger.
Las campañas, con volúmenes de mensajes que oscilaban entre unos pocos cientos y decenas de miles, utilizaban diversos señuelos persuasivos y mecanismos de entrega. Los correos electrónicos, que se hacían pasar por organizaciones como fundaciones benéficas, bancos, tribunales y servicios de documentación, contenían archivos adjuntos maliciosos como archivos ejecutables comprimidos, JavaScript, VBScript, archivos ISO, archivos IMG y archivos ACE. Los asuntos de los correos electrónicos, a menudo urgentes o con contenido financiero delicado («Pago pendiente», «Citación judicial», «Factura de donación»), tenían como objetivo engañar a las víctimas para que abrieran los archivos adjuntos.
Proofpoint recomienda que las organizaciones vigilen de cerca actividades como el uso de «netsh wlan», el uso sospechoso de exclusiones de PowerShell Defender y la ejecución de Chrome sin interfaz gráfica; todos comportamientos compatibles con infecciones de Stealerium. También es esencial monitorear grandes cantidades de datos que salen de la red, especialmente hacia servicios y URL no autorizados, o bloquear por completo el tráfico saliente hacia dichos servicios.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
