(https://i.postimg.cc/sXJ143JX/Stealer_Cat.png) (https://postimages.org/)
Una nueva plataforma de «malware como servicio» (MaaS) —que combina la ingeniería social ClickFix con la exfiltración automatizada de datos y la detección de billeteras— se está vendiendo en la dark web por 250 dólares al mes, o 1800 dólares por acceso de por vida.
Investigadores de la firma de seguridad BlackFog advierten que esta plataforma es más peligrosa que los ladrones de datos genéricos, tales como Lumma, Vidar y RedLine. Esto se debe a que, mientras que la mayoría del malware infecta, roba datos y luego se detiene, Venom Stealer infecta, roba, vulnera, vacía cuentas y continúa robando.
El desarrollador criminal, que opera bajo el alias Venom Stealer, comercializa el acceso mediante un modelo de suscripción que incluye un proceso de solicitud verificado, un sistema de licencias gestionado a través de Telegram y un programa de afiliados con una comisión del 15 %.
Según BlackFog, tan solo en marzo de 2026 se lanzaron múltiples actualizaciones, y el ritmo de desarrollo sugiere que se trata de una operación a tiempo completo.
La ingeniería social se transforma en una cadena de ataque automatizada
Investigadores de seguridad describen una plataforma que funciona como una maquinaria perfectamente engrasada: comienza con técnicas de ingeniería social y evoluciona rápidamente hacia el robo automatizado de datos y la explotación financiera.
Tal como explica el informe: «La infección se inicia cuando la víctima accede a una página de "ClickFix" alojada por el operador», haciendo referencia a páginas fraudulentas que engañan a los usuarios para que sean ellos mismos quienes ejecuten comandos maliciosos.
A las víctimas se les muestran falsos CAPTCHA o errores del sistema y se les pide que peguen comandos en el cuadro de diálogo "Ejecutar" (Windows) o en la "Terminal" (macOS).
Dado que la víctima inicia la ejecución por sí misma, el proceso parece iniciado por el usuario, señala el informe, añadiendo que las herramientas de seguridad podrían no detectar la actividad.
Esto elude la detección basada en el comportamiento, que busca actividad inusual en los programas.
Elusión del cifrado del navegador
El informe señala que el malware también puede eludir el cifrado del navegador.
«En el momento en que se ejecuta la carga útil, esta rastrea todos los navegadores basados en Chromium y Firefox presentes en la máquina, extrayendo las contraseñas guardadas, las cookies de sesión, el historial de navegación, los datos de autocompletado y las bóvedas de monederos de criptomonedas de cada perfil».
BlackFog Research
(https://i.postimg.cc/tJg9433c/Cats_Shocked_GIFs_(1).gif) (https://postimages.org/)
Los investigadores señalan que el cifrado de contraseñas de las versiones v10 y v20 de Chrome se elude obteniendo un acceso con privilegios elevados que no activa una alerta del Control de cuentas de usuario (UAC).
Los datos robados se envían de inmediato, dejando escasas pruebas en el dispositivo, lo que hace que su detección sea «significativamente más difícil».
El siguiente paso en la cadena es el robo automatizado de criptomonedas, ya que cualquier dato de monedero descubierto se transmite a un «motor de descifrado del lado del servidor», donde los monederos cifrados se desbloquean y vacían.
El malware también busca frases como «File Password» (contraseña de archivo) y «seed finder» (buscador de semillas), lo que sugiere que incluso las claves de monederos almacenadas sin conexión podrían verse comprometidas.
BlackFog explica que esta perniciosa plataforma puede establecer un canal de extracción continuo incluso después de la infección, dado que permanece activa «monitoreando ininterrumpidamente los datos de inicio de sesión de Chrome» y robando en tiempo real las credenciales recién guardadas, lo que convierte los restablecimientos de contraseña en medidas ineficaces.
Para reducir la exposición a amenazas como Venom, los investigadores recomiendan restringir la ejecución de PowerShell, deshabilitar el cuadro de diálogo Ejecutar para los usuarios estándar mediante la Política de grupo y capacitar a los empleados para reconocer la ingeniería social de estilo ClickFix.
Fuente:
CyberNews
https://cybernews.com/security/venom-stealer-clickfix-crypto-theft/