El malware Stealerium, un software de código abierto publicado con fines educativos, está ganando protagonismo en los últimos meses al ser aprovechado por grupos de ciberdelincuentes en ataques cada vez más frecuentes. Según un informe reciente de la compañía de ciberseguridad y cumplimiento normativo Proofpoint, este ladrón de información y otros derivados de su código, como Phantom Stealer, resultan especialmente atractivos por su capacidad para robar una gran variedad de datos sensibles.
Entre la información que puede ser exfiltrada se encuentran cookies y credenciales almacenadas en navegadores, datos de tarjetas de crédito obtenidos en formularios web, tokens de sesión de plataformas de juegos, información de monederos de criptomonedas y distintos tipos de archivos confidenciales.
Aunque este malware no es nuevo, Proofpoint ha observado un repunte en su distribución en campañas lanzadas por grupos como TA2715 y TA2536. Los ciberdelincuentes suelen utilizar correos electrónicos maliciosos para propagarlo, adjuntando archivos ejecutables comprimidos, JavaScript, VBScript, así como imágenes de disco en formato ISO e IMG, o incluso archivos ACE.
Los mensajes de correo suelen hacerse pasar por instituciones legítimas como bancos, tribunales, fundaciones benéficas o servicios de documentación. Para aumentar la tasa de éxito, los atacantes recurren a asuntos con un alto grado de urgencia, entre ellos: “pago pendiente”, “citación judicial” o “factura de donación”.
Además de su capacidad de robo de datos, Stealerium puede emplearse en tácticas de sextorsión y se superpone en funcionalidad con otras familias de malware. Su naturaleza de código abierto facilita que ciberdelincuentes lo adopten, modifiquen y lo hagan evolucionar, lo que deriva en múltiples variantes difíciles de detectar y bloquear.
Desde Proofpoint explican:
“Aunque muchos atacantes optan por el modelo de malware como servicio, otros prefieren herramientas que se pueden adquirir una sola vez o que incluso están disponibles de forma abierta en plataformas como GitHub. Esto impulsa la proliferación de nuevas versiones de malware, lo que complica la defensa de las organizaciones”.
Los expertos advierten de la importancia de que las compañías estén atentas a ciertos comportamientos sospechosos que suelen ocurrir tras una infección. Entre ellos, destacan el uso de comandos como ‘netsh wlan’, la manipulación de exclusiones en PowerShell Defender, o la ejecución de Google Chrome en modo sin interfaz gráfica.
Asimismo, recomiendan vigilar los flujos de datos salientes, prestando especial atención a grandes volúmenes de información que se dirigen a URLs o servicios no autorizados internamente, así como restringir el tráfico hacia plataformas externas que no formen parte de la operativa habitual de la empresa.
Con el auge de Stealerium y sus derivados, las organizaciones enfrentan un nuevo reto en el terreno de la ciberseguridad: defenderse de un malware flexible, adaptable y que, por su disponibilidad abierta, puede seguir multiplicando sus variantes en los próximos meses.
