Stealerium, un malware de código abierto disponible con fines educativos, y otros ladrones que comparten también parte de su código, como Phantom Stealer, aparecen cada vez más en los ataques de ciberdelincuentes oportunistas, según los investigadores de la empresa de ciberseguridad y cumplimiento normativo Proofpoint. Entre las razones, sus capacidades para exfiltrar una gran variedad de datos, incluyendo cookies y credenciales del navegador, datos de tarjetas de crédito mediante formularios web, tokens de sesión de servicios de juegos, datos de monederos de criptomonedas y diversos tipos de archivos confidenciales.
Aunque el malware existe desde hace tiempo, Proofpoint ha observado recientemente un aumento en la distribución de malware basado en Stealerium por parte de grupos de ciberdelincuencia como TA2715 y TA2536. Las campañas incluyen correos electrónicos con diversos tipos de archivos adjuntos para su entrega, entre ellos ejecutables comprimidos, JavaScript, VBScript, ISO, IMG y archivos ACE. En los mensajes observados por Proofpoint, los ciberdelincuentes suplantan la identidad de muchas organizaciones, entre ellas fundaciones benéficas, bancos, tribunales y servicios de documentación, que son temas comunes en los señuelos de los delitos electrónicos. Los asuntos suelen transmitir urgencia con ejemplos como “pago pendiente”, “citación judicial” o “factura de donación”. Por sus características, Stealerium es apto para tácticas de sextorsión y puede superponerse a otras familias de malware.
“Aunque muchos atacantes prefieren malware como servicio, como Lumma Stealer o Amatera Stealer, otros se decantan por usar malware que se pueda comprar una sola vez o que esté disponible de forma abierta en plataformas como GitHub”, comentan desde el equipo de investigación de amenazas de Proofpoint. “Los ciberdelincuentes pueden adoptar, modificar y posiblemente mejorar el código abierto, lo que genera una proliferación de variantes del malware que no son fáciles de detectar ni defenderse”.
Para los expertos, las organizaciones tienen que supervisar las actividades relacionadas con “netsh wlan”, el uso sospechoso de las exclusiones de PowerShell Defender y la ejecución de Chrome sin interfaz gráfica, que son comportamientos típicos tras una infección. Asimismo, deben monitorizar las grandes cantidades de datos que salen de la red, en particular hacia servicios y URLs cuyo uso no está permitido internamente o evitar por completo el tráfico saliente hacia estos servicios.
