AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Stealc: El malware que ha ocupado el vacío tras el desmantelamiento de Lumma y Rhadamanthys

admin

#### 1. Introducción

El ecosistema del malware financiero y de robo de información evoluciona a gran velocidad, adaptándose a los golpes asestados por las fuerzas de seguridad. Tras las operaciones policiales que en 2023 lograron desmantelar dos de los infostealers más prolíficos, Lumma y Rhadamanthys, se ha detectado la aparición y consolidación de una nueva amenaza: Stealc. Este malware, cada vez más distribuido en campañas criminales, ha conseguido llenar el hueco dejado por sus predecesores, convirtiéndose en una de las principales herramientas de robo de credenciales y datos sensibles en 2024.

#### 2. Contexto del Incidente o Vulnerabilidad

En los últimos años, los infostealers han representado una amenaza persistente para empresas y usuarios finales, permitiendo a los actores de amenazas robar credenciales, datos bancarios, carteras de criptomonedas y otra información crítica. En 2023, importantes operaciones coordinadas por Europol y otras fuerzas de seguridad lograron interrumpir la infraestructura de Lumma y Rhadamanthys, dos de las principales familias de infostealers del mercado negro, dificultando temporalmente la actividad de los grupos criminales que dependían de estos servicios de malware-as-a-service (MaaS).

Sin embargo, la disrupción duró poco: la demanda de herramientas de robo de información siguió intacta y, en cuestión de meses, Stealc se posicionó como el sustituto natural, aprovechando el vacío en el mercado underground y la experiencia previa de operadores y afiliados.

#### 3. Detalles Técnicos

**Identificadores y versiones afectadas**
Stealc (sin CVE asociado por tratarse de un software malicioso propietario) se distribuye como un infostealer modular y personalizable, ofreciendo funcionalidades similares –e incluso mejoradas– respecto a Lumma y Rhadamanthys. Se han detectado versiones activas desde finales de 2023 hasta la actualidad, con actualizaciones frecuentes para evadir soluciones EDR y AV.

**Vectores de ataque y TTPs**
Entre los principales vectores de distribución se identifican:

– Campañas de phishing por correo electrónico con archivos adjuntos maliciosos (macro, LNK, JavaScript).
– Descarga a través de sitios comprometidos y malvertising.
– Cadenas de infección que involucran droppers y loaders como SmokeLoader o PrivateLoader.

En cuanto a las TTPs, Stealc destaca por su uso de técnicas documentadas en MITRE ATT&CK:

– **T1059** (Command and Scripting Interpreter): ejecución de scripts maliciosos.
– **T1566** (Phishing): distribución inicial.
– **T1005** (Data from Local System): recolección de información.
– **T1119** (Automated Collection): exfiltración automatizada de datos.

**Indicadores de Compromiso (IoC):**
– Hashes SHA-256 de las muestras más recientes.
– Dominios de C2 rotativos y direcciones IP asociadas en bulletproof hosting.
– Nombres de archivo y rutas comunes: `%APPDATA%Stealc`, archivos `config.bin` y `log.txt`.

**Herramientas y frameworks utilizados:**
Stealc se integra fácilmente con frameworks de post-explotación como Cobalt Strike, y su distribución se ha observado empaquetada en archivos protegidos por packers personalizados y mecanismos antianálisis.

#### 4. Impacto y Riesgos

El impacto de Stealc es significativo: en menos de seis meses desde el declive de Lumma y Rhadamanthys, múltiples analistas han reportado que Stealc está presente en aproximadamente el 30% de los incidentes de infostealing detectados en Europa occidental. Empresas de todos los sectores se han visto afectadas, especialmente aquellas cuyos empleados acceden a aplicaciones corporativas desde navegadores web.

Los riesgos principales incluyen:

– Compromiso de cuentas corporativas y personales.
– Robo de credenciales almacenadas en navegadores (Chrome, Firefox, Edge, Opera, etc.).
– Exfiltración de carteras de criptomonedas y archivos de configuración de VPN.
– Incremento de ataques de acceso inicial (initial access broker) y posteriores movimientos laterales en la red.

El coste medio estimado por incidente, según ENISA, ronda los 150.000 euros en pérdidas directas e indirectas.

#### 5. Medidas de Mitigación y Recomendaciones

– **Actualización de firmas y listas de bloqueo** en EDR/AV para incluir los IoC de Stealc.
– **Monitorización de tráfico saliente** hacia dominios sospechosos y uso de TLS inspection para detectar exfiltración.
– **Restricción de macros y ejecución de scripts** provenientes de fuentes externas.
– **Formación de usuarios** en detección de phishing y buenas prácticas de navegación.
– **Segmentación de red y principio de mínimo privilegio** para limitar el movimiento lateral.
– **Revisión periódica de credenciales** y uso de gestores de contraseñas con MFA.

#### 6. Opinión de Expertos

Diversos CISOs consultados señalan que la aparición de Stealc es un claro ejemplo de la resiliencia del cibercrimen: «La caída de una infraestructura, por muy sofisticada que sea la operación policial, sólo provoca una transición rápida a nuevas herramientas y servicios», afirma Marta Álvarez, responsable de Threat Intelligence en una multinacional del sector energético. Desde el ámbito del análisis SOC, se destaca la modularidad y capacidad de evasión de Stealc: «Su desarrollo activo y comunidad de afiliados lo posicionan como una amenaza prioritaria en 2024», advierte Pedro Lozano, analista senior en un MSSP europeo.

#### 7. Implicaciones para Empresas y Usuarios

El resurgimiento de infostealers como Stealc obliga a las empresas a reforzar sus políticas de seguridad, actualizar sus controles y priorizar la detección temprana de accesos no autorizados. En el contexto regulatorio, incidentes de robo de credenciales pueden suponer sanciones severas bajo el GDPR y, a partir de 2024, bajo la directiva NIS2, que exige una mayor diligencia en la protección de los activos digitales y notificación de brechas.

Para los usuarios particulares, el riesgo de exposición de credenciales reutilizadas puede desencadenar ataques de tipo credential stuffing, suplantación de identidad y fraudes financieros.

#### 8. Conclusiones

La rápida consolidación de Stealc como principal infostealer tras la caída de Lumma y Rhadamanthys evidencia la constante adaptación del cibercrimen. Las organizaciones deben mantener una vigilancia activa, fortalecer la concienciación y adoptar una defensa en profundidad para mitigar el impacto de estas amenazas, que seguirán evolucionando en sofisticación y alcance en los próximos meses.

(Fuente: www.darkreading.com)