Underc0de - La Casa de los Informáticos

El malware StealC, uno de los descargadores de malware y ladrones de información más populares en foros clandestinos, ha lanzado su segunda versión principal con mejoras significativas en capacidades de evasión, robo de datos y distribución de cargas útiles.

La versión 2.2.4 de StealC fue puesta a disposición de actores maliciosos en marzo de 2025, y desde entonces ha recibido varias actualizaciones menores que fortalecen su funcionalidad. Investigadores de Zscaler ThreatLabz han publicado recientemente un análisis técnico en profundidad sobre esta peligrosa herramienta de cibercrimen.

StealC: evolución de un malware de bajo perfil a una amenaza sofisticada

StealC se detectó por primera vez a principios de 2023, cuando comenzó a circular en la dark web como un malware ligero enfocado en el robo de información sensible. Su modelo de negocio tipo "malware como servicio" (MaaS) ofrecía acceso por 200 dólares mensuales, atrayendo a múltiples operadores.

En 2024, StealC participó en campañas de publicidad maliciosa a gran escala y en ataques que bloqueaban los sistemas en modos quiosco ineludibles. A finales del mismo año, se confirmó que sus desarrolladores seguían activos y habían implementado mecanismos avanzados de evasión, como la bypass de 'App-Bound Encryption' en Google Chrome, permitiendo la reutilización de cookies caducadas para secuestrar cuentas de Google.

Principales mejoras en StealC 2.2.4

La versión 2 de StealC, lanzada oficialmente en marzo de 2025, incluye una serie de funciones que elevan su nivel de sofisticación. Según el informe de Zscaler, se destacan las siguientes mejoras clave:

1. Entrega flexible de cargas útiles

• Soporte para múltiples formatos: ejecutables (.exe), paquetes MSI y scripts de PowerShell.
• Activación de carga configurable, adaptable según el entorno del objetivo.

2. Comunicación cifrada y aleatoriedad

• Implementación de cifrado RC4 en cadenas de código y tráfico C2 (comando y control).
• Parámetros aleatorios en las respuestas C2 para dificultar la detección por firmas.

3. Mejora de arquitectura y persistencia

• Compatibilidad con sistemas de 64 bits mediante nuevas cargas compiladas.
• Resolución dinámica de funciones de API en tiempo de ejecución.
• Rutina de autoeliminación para reducir huellas tras la ejecución.

4. Constructor de malware integrado

• Herramienta interna para generar nuevas variantes con reglas de robo personalizadas.
• Permite una rápida personalización por parte de los operadores.

5. Funciones avanzadas de vigilancia

• Captura de pantallas de escritorio con soporte para múltiples monitores.
• Integración con bots de Telegram para enviar alertas en tiempo real.

Cambios y posibles direcciones futuras

Junto con las nuevas capacidades, algunas funciones fueron eliminadas, como las comprobaciones anti-VM (máquinas virtuales) y la ejecución de DLLs remotas. Esto podría indicar un rediseño del malware enfocado en una ejecución más ágil, aunque no se descarta que se reintroduzcan con mejoras en futuras versiones.

Técnicas de distribución detectadas

En campañas recientes analizadas por Zscaler, se observó que StealC fue desplegado mediante el malware Amadey, utilizado como loader o cargador. Sin embargo, es probable que distintos operadores utilicen otros métodos de distribución o cadenas de ataque para propagar el malware.

Cómo protegerse del malware StealC y otras amenazas similares

Para reducir el riesgo de ser víctima de StealC u otros malwares de robo de información, se recomienda seguir estas buenas prácticas:

• Evite almacenar contraseñas u otros datos sensibles en navegadores web.
• Active la autenticación multifactor (MFA) en todas sus cuentas críticas.
• No descargue software de fuentes no confiables, especialmente contenido pirata.
• Utilice soluciones antivirus con protección contra amenazas avanzadas (ATP).
• Mantenga actualizado su sistema operativo y navegadores web.

En conclusión, el lanzamiento de StealC 2.2.4 confirma la evolución constante del malware orientado al robo de credenciales y datos sensibles. Con nuevas técnicas de evasión, entrega y vigilancia, esta herramienta representa una amenaza creciente para usuarios individuales y organizaciones por igual. La conciencia sobre ciberseguridad y la adopción de buenas prácticas son fundamentales para mitigar su impacto.

Fuente: https://www.bleepingcomputer.com/