Aunque secuestrar la cámara web de un usuario con el fin de conseguir fotos íntimas para luego chantajear es una técnica altamente usada por los 'hackers', un programa espía ha convertido este delito en un proceso prácticamente automatizado, según reveló una reciente investigación de la firma de seguridad Proofpoint. Se trata de Stealerium, que en el 2022 surgió como un malware de código abierto disponible gratuitamente en GitHub y que aún se puede descargar solo con fines educativos. Si bien el malware de código abierto puede ser útil para que los ingenieros de detección y los cazadores de amenazas comprendan los patrones de comportamiento para los cuales pueden desarrollar firmas de detección de amenazas, también proporciona un tipo de formación diferente a los actores maliciosos. Estos actores pueden adoptar, modificar y posiblemente mejorar el código abierto, lo que resulta en la proliferación de variantes del malware que no son fáciles de detectar ni de combatir. Aunque el malware existe desde hace tiempo, los investigadores de Proofpoint observaron recientemente un repunte en las campañas que distribuyen malware basado en Stealerium. Una campaña vinculada al actor cibercriminal TA2715 en mayo del 2025 dio lugar a un nuevo análisis de Stealerium, que no se había utilizado ampliamente en los datos de amenazas por correo electrónico de Proofpoint desde principios del 2023. TA2536, otro actor cibercriminal de baja sofisticación, también utilizó Stealerium a finales de mayo del 2025. Ambos actores habían utilizado recientemente Snake Keylogger (también conocido como VIP Recovery), por lo que el uso de Stealerium fue notable. Los investigadores de Proofpoint identificaron campañas adicionales hasta agosto del 2025 que emplearon diversos señuelos persuasivos y mecanismos de entrega. Si bien la mayoría de las campañas no se atribuyen a actores de amenazas rastreados, la actividad inicial de TA2715 marcó el primer uso observado de Stealerium en los datos de amenazas de Proofpoint en más de un año. El volumen de mensajes oscila entre unos doscientos y decenas de miles por campaña. Las campañas de Stealerium incluían correos electrónicos con diversos tipos de archivos para su envío, como ejecutables comprimidos, JavaScript, VBScript, ISO, IMG y archivos ACE. Los correos electrónicos observados suplantaban la identidad de diversas organizaciones, como fundaciones benéficas, bancos, tribunales y servicios de documentación, temas comunes en los señuelos de delitos electrónicos. Los asuntos solían transmitir urgencia o relevancia financiera, como "Pago pendiente", "Citación judicial" y "Factura de donación". Por ejemplo, el 5 de mayo del 2025, Proofpoint identificó una campaña TA2715 que suplantaba a una organización benéfica canadiense con un señuelo de "solicitud de presupuesto". Los mensajes contenían un archivo adjunto ejecutable comprimido que, al ejecutarse, descargaba e instalaba Stealerium. Los investigadores también han observado múltiples campañas que aprovechan señuelos relacionados con viajes, hostelería e incluso bodas. Por ejemplo, el 23 de junio del 2025, Proofpoint identificó un tema de solicitud de reserva con ejecutables comprimidos que generaba Stealerium. Esta campaña se dirigió a organizaciones del sector hotelero, así como a organizaciones educativas y financieras. Al igual que muchas campañas de malware genérico, los atacantes que distribuyen Stealerium también utilizan habitualmente señuelos de pago o facturas. En una campaña observada el 24 de junio del 2025, los atacantes utilizaron el tema "Xerox Scan" con un señuelo relacionado con pagos. La campaña se dirigió a cientos de organizaciones a nivel mundial. Estos mensajes contenían archivos JavaScript comprimidos que instalaban Stealerium y realizaban un reconocimiento de red para recopilar perfiles de Wi-Fi y redes cercanas. Finalmente, al igual que muchos actores de amenazas, las campañas que distribuyen Stealerium suelen usar ingeniería social que aprovecha el miedo, la frustración o la emoción para que las personas interactúen con sus mensajes con urgencia. Hemos observado contenido para adultos en algunos señuelos de Stealerium, así como el siguiente ejemplo, que informa al destinatario de que está siendo demandado. Esta campaña se observó el 2 de julio del 2025, con una "fecha de audiencia" el 15 de julio de 2025 para aumentar la urgencia del correo electrónico. Estos mensajes contenían archivos IMG (imagen de disco) con VBScripts incrustados. El VBScript descargaba la carga útil como un ejecutable comprimido que instalaba Stealerium. Tras su ejecución, Stealerium emite una serie de comandos "netsh wlan" para enumerar los perfiles Wi-Fi guardados y las redes inalámbricas cercanas. Su recopilación sugiere la intención de recopilar credenciales almacenadas para el desplazamiento lateral o la geolocalización del host infectado. Los patrones de nombres SSID y las configuraciones de seguridad facilitan las tareas de reconocimiento y pueden permitir a los actores de amenazas acceder de forma fraudulenta desde sistemas cercanos. Cabe precisar que Stealerium es un ladrón de funciones completo escrito en .NET y tiene la capacidad de filtrar una gran variedad de datos, incluidas cookies y credenciales del navegador, datos de tarjetas de crédito (a través del raspado de formularios web), tokens de sesión de servicios de juegos como Steam, datos de billeteras criptográficas y varios tipos de archivos confidenciales. A estar atento a esta amenaza.
