Stealerium: El malware de código abierto que dispara los ataques de robo de datos en 2024

Introducción

En los últimos meses, el panorama de amenazas ha sido testigo de un notable incremento en la actividad de malware stealer basado en proyectos de código abierto. Entre ellos, Stealerium y derivados como Phantom Stealer están ganando terreno rápidamente entre actores de amenazas oportunistas, según los últimos informes de Proofpoint. Este fenómeno pone en jaque a los equipos de ciberseguridad, ya que la proliferación y facilidad de personalización de estos stealers facilita campañas masivas de exfiltración de credenciales e información sensible.

Contexto del Incidente o Vulnerabilidad

El uso de malware stealer no es nuevo, pero la disponibilidad de proyectos como Stealerium en repositorios públicos de GitHub y foros clandestinos representa una evolución significativa en el acceso y despliegue de herramientas maliciosas. Inicialmente presentado como una herramienta “educativa”, Stealerium se ha convertido en la base de múltiples campañas activas de robo de datos. Su código, abierto y modular, permite a cualquier actor con conocimientos básicos adaptar funcionalidades, evadiendo soluciones tradicionales de detección.

Phantom Stealer comparte parte del código de Stealerium y hereda muchas de sus capacidades. Ambas familias están presentes en más del 20% de los ataques de robo de información detectados por Proofpoint en el primer semestre de 2024, lo que evidencia la facilidad con la que los ciberdelincuentes adoptan y modifican estos recursos.

Detalles Técnicos

Stealerium y sus variantes están identificados en el MITRE ATT&CK bajo técnicas como T1005 (Data from Local System), T1555 (Credential from Password Stores) y T1567 (Exfiltration Over Web Service). El malware suele llegar a los sistemas mediante campañas de phishing, descargas drive-by o archivos adjuntos maliciosos en correos electrónicos.

Entre las versiones afectadas destacan Windows 10 y 11, aunque existen módulos compatibles para sistemas Linux y macOS. Una vez ejecutado, Stealerium realiza las siguientes acciones:

– **Recolección de credenciales**: Extrae datos de navegadores (Chrome, Firefox, Edge), clientes FTP, VPN y aplicaciones de mensajería como Discord y Telegram.
– **Exfiltración de archivos**: Busca documentos sensibles (PDF, DOCX, XLSX) y carteras de criptomonedas.
– **Persistencia**: Añade entradas en el registro y tareas programadas para garantizar su ejecución tras reinicios.
– **Evasión**: Puede utilizar técnicas de ofuscación, empaquetado y exclusión de rutas comunes de sandboxing.

Los indicadores de compromiso (IoC) reportados incluyen hashes SHA-256 de las muestras más recientes, dominios de C2 (Comando y Control) como “stealerium[.]xyz”, y rutas de exfiltración vía Telegram Bots y servicios de almacenamiento en la nube.

Impacto y Riesgos

El principal riesgo para las organizaciones reside en la rápida exfiltración de información crítica, desde credenciales hasta documentos confidenciales. Se han documentado incidentes en los que, tras la infección, los atacantes han logrado acceso lateral a recursos corporativos en menos de una hora. Además, la modularidad del malware permite añadir funcionalidades como keylogging, screenshots y robo de tokens de autenticación, incrementando el potencial de daño.

Según datos de Proofpoint y otras fuentes del sector, la popularidad de Stealerium y derivados ha causado pérdidas estimadas en más de 50 millones de euros durante el primer semestre de 2024, afectando principalmente a pymes del sector servicios y entornos cloud.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a Stealerium y similares, los expertos recomiendan:

– **Actualización continua** de sistemas operativos y aplicaciones, cerrando vulnerabilidades explotadas en campañas recientes.
– **Monitorización de logs** y análisis de tráfico saliente para detectar patrones anómalos y conexiones a dominios de C2 conocidos.
– **Aplicación de políticas de mínimo privilegio** y segmentación de redes para limitar los movimientos laterales.
– **Formación recurrente** a empleados sobre phishing y técnicas de ingeniería social.
– **Implantación de EDR/XDR** con detección basada en comportamiento y uso de listas de hashes/IoC actualizados.
– **Evaluación periódica de cumplimiento** con normativas como GDPR y NIS2, que exigen notificación de brechas y protección reforzada de datos sensibles.

Opinión de Expertos

Fernando Ramírez, CISO de una multinacional tecnológica, señala: “El auge de Stealerium demuestra que la barrera de entrada para el cibercrimen sigue bajando. La combinación de código abierto y canales de distribución masiva multiplica los riesgos y obliga a reforzar la vigilancia en endpoints y correo electrónico”. Desde Proofpoint, advierten que “la personalización de stealer mediante frameworks como Metasploit y Cobalt Strike es cada vez más frecuente, elevando la sofisticación de ataques que antes eran triviales”.

Implicaciones para Empresas y Usuarios

Más allá del impacto económico y reputacional, la proliferación de stealers de código abierto plantea retos regulatorios y técnicos. Las empresas deben revisar sus estrategias de defensa, priorizando la protección de credenciales y datos personales. El incumplimiento del GDPR puede suponer sanciones de hasta el 4% de la facturación global, mientras que la Directiva NIS2 impone exigencias adicionales en términos de resiliencia y reporte de incidentes.

Para los usuarios, la concienciación y la adopción de buenas prácticas (como la autenticación multifactor y la verificación de fuentes de descarga) son esenciales para reducir la superficie de exposición.

Conclusiones

Stealerium y sus variantes representan una amenaza creciente por su disponibilidad, facilidad de uso y capacidades de exfiltración. La tendencia al alza de estos malware obliga a los profesionales de ciberseguridad a redoblar esfuerzos en monitorización, prevención y respuesta. Solo la combinación de tecnología avanzada, formación y cumplimiento normativo permitirá mitigar eficazmente este tipo de amenazas emergentes.

(Fuente: www.cybersecuritynews.es)