Redazione RHC : 8 septiembre 2025 14:30
Investigadores de Proofpoint, líder en ciberseguridad y protección de la información, han detectado un preocupante aumento en el uso de malware de código abierto, como Stealerium y Phantom Stealer, por parte de ciberdelincuentes oportunistas. Estas herramientas, originalmente diseñadas con fines educativos, se están convirtiendo en armas eficaces para robar datos confidenciales, poniendo en riesgo la identidad y la información corporativa.
Los actores de amenazas centran cada vez más sus esfuerzos en los robos de información, ya que el robo de identidad se ha convertido en una prioridad en el panorama de la ciberdelincuencia. Si bien muchos prefieren ofertas de «malware como servicio», como Lumma Stealer o Amatera Stealer, un número creciente de delincuentes recurre a soluciones desechables o gratuitas en plataformas como GitHub. Stealerium es un excelente ejemplo.
Statealerium, que surgió en 2022 como malware de código abierto en GitHub, todavía está disponible para su descarga «solo con fines educativos». Si bien puede ser útil para que los expertos en seguridad desarrollen firmas de detección, también ofrece un peligroso «entrenamiento» a los atacantes. Estos pueden adoptar, modificar e incluso mejorar el código fácilmente, lo que resulta en variantes de malware cada vez más difíciles de detectar y combatir.
«No está claro hasta qué punto Phantom Stealer está relacionado con Stealerium, pero ambas familias comparten una gran parte de su código, y es probable que Phantom Stealer reutilizara código de Stealerium», explican los investigadores de Proofpoint. De hecho, muchas muestras analizadas hacen referencia a ambos en su código, lo que destaca una estrecha relación entre ambas amenazas.
Stealerium es un completo ladrón de información, escrito en .NET, capaz de extraer una amplia gama de datos, incluyendo: cookies y credenciales del navegador, datos de tarjetas de crédito (mediante el raspado de formularios web), Tokens de sesión de servicios de juegos (p. ej., Steam); detalles de monederos de criptomonedas; archivos confidenciales de varios tipos; datos de keylogging y del portapapeles; información sobre aplicaciones instaladas, hardware y claves de producto de Windows; datos de servicios VPN (NordVPN, OpenVPN, ProtonVPN, etc.), información de redes Wi-Fi y contraseñas.
Una característica particularmente inquietante es la capacidad de Stealerium para detectar contenido para adultos en pestañas abiertas del navegador y capturar capturas de pantalla del escritorio e imágenes de la cámara web. Esta funcionalidad puede utilizarse para tácticas de «sextorsión», un fenómeno creciente en la ciberdelincuencia.
Aunque Stealerium lleva tiempo en activo, los investigadores de Proofpoint han observado recientemente un aumento en las campañas que distribuyen código basado en este malware. En particular, una campaña de mayo de 2025 vinculada al actor TA2715 volvió a poner a Stealerium en el punto de mira, tras no haber tenido un uso significativo desde principios de 2023. TA2536, otro ciberdelincuente poco sofisticado, también lo implementó a finales de mayo de 2025, un cambio notable considerando que ambos habían optado recientemente por Snake Keylogger.
Las campañas, con volúmenes de mensajes que oscilaban entre unos pocos cientos y decenas de miles, utilizaban diversos señuelos persuasivos y mecanismos de entrega. Los correos electrónicos, que se hacían pasar por organizaciones como fundaciones benéficas, bancos, tribunales y servicios de documentación, contenían archivos adjuntos maliciosos como archivos ejecutables comprimidos, JavaScript, VBScript, archivos ISO, archivos IMG y archivos ACE. Los asuntos de los correos electrónicos, a menudo urgentes o con contenido financiero delicado («Pago pendiente», «Citación judicial», «Factura de donación»), tenían como objetivo engañar a las víctimas para que abrieran los archivos adjuntos.
Proofpoint recomienda que las organizaciones vigilen de cerca actividades como el uso de «netsh wlan», el uso sospechoso de exclusiones de PowerShell Defender y la ejecución de Chrome sin interfaz gráfica; todos comportamientos compatibles con infecciones de Stealerium. También es esencial monitorear grandes cantidades de datos que salen de la red, especialmente hacia servicios y URL no autorizados, o bloquear por completo el tráfico saliente hacia dichos servicios.
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
