Stealerium avanza como una amenaza híbrida que combina robo de credenciales, secuestro de sesiones y control de webcams para facilitar el chantaje digital. Este stealer con funciones de RAT explota la ingeniería social, instaladores trojanizados y campañas de malvertising para infiltrarse en endpoints corporativos. Para los equipos de TI y seguridad, el riesgo es doble: pérdida de acceso a cuentas críticas y extorsión basada en imágenes o video capturados sin consentimiento.

Qué es Stealerium y por qué preocupa a los defensores

Stealerium es un infostealer modular orientado principalmente a Windows que los actores de amenaza personalizan con facilidad. Su objetivo central es exfiltrar credenciales, cookies y tokens de sesión desde navegadores y aplicaciones populares; además, incorpora captura de pantalla y acceso a la webcam, lo que incrementa el potencial de extorsión. La disponibilidad de variantes y builders en foros clandestinos reduce la barrera de entrada y facilita campañas a gran escala.

Este malware destaca por su versatilidad: integra mecanismos de persistencia, técnicas de evasión básicas y múltiples canales de exfiltración (HTTPS, webhooks de servicios de mensajería o paneles de control). La capacidad de activar la webcam y combinarla con cookies de sesión o tokens robados permite a los atacantes realizar chantaje y, en paralelo, mantener intrusiones silenciosas para el movimiento lateral.

Cómo opera Stealerium: cadena de infección y capacidades clave

Los operadores de Stealerium emplean varios vectores de distribución y un conjunto amplio de módulos. En términos generales, se observan las siguientes fases y capacidades:

• Distribución: phishing con adjuntos LNK/ISO/ZIP, instaladores de software crackeado, falsas actualizaciones de navegador y malvertising que redirige a descargas manipuladas.
• Ejecución y evasión: empaquetado en .NET u ofuscado, comprobaciones anti-VM/anti-debug y ejecución reflectiva para reducir la visibilidad.
• Persistencia: claves de registro «Run»/»RunOnce», tareas programadas y despliegue en rutas de perfil del usuario (%AppData%/Local/Temp).
• Recolección: credenciales y cookies de navegadores basados en Chromium y Gecko (archivos SQLite como «Login Data», «Cookies» y «Web Data»), tokens de Discord/Telegram, billeteras de criptomonedas, clientes FTP/VPN/RDP, listas de procesos y aplicaciones.
• Captura y espionaje: screenshots periódicos, keylogging, lectura del portapapeles y acceso a la webcam vía APIs de Windows (por ejemplo, Media Foundation/DirectShow) para obtener imágenes o video.
• Exfiltración: compresión de datos y envío a C2 mediante HTTPS, webhooks (p. ej., Discord), APIs de mensajería (p. ej., Telegram) o paneles HTTP; uso de geolocalización y beacons para seguimiento de víctimas.

Riesgos para empresas: del compromiso de cuentas al chantaje

El impacto de Stealerium trasciende el robo de contraseñas. Al capturar cookies y tokens de sesión, puede eludir MFA en escenarios donde el proveedor no invalida tokens robados. Los atacantes consiguen:

• Acceso a correo corporativo y SaaS, con riesgo de BEC (Business Email Compromise).
• Movimiento lateral mediante VPN/RDP si comprometen credenciales privilegiadas.
• Exfiltración de información sensible y chantaje con material capturado por webcam.
• Daño reputacional, interrupción operativa y exposición a sanciones regulatorias.

Señales de compromiso a vigilar

• Creación de tareas programadas o claves de arranque con nombres genéricos («Update», «ChromeUpdate»).
• Acceso frecuente a archivos de credenciales/cookies del navegador por procesos fuera de la lista blanca.
• Conexiones salientes a endpoints de Telegram/Discord, pastebins o dominios recién registrados desde equipos de usuario.
• Archivos comprimidos recientes en %AppData%/Local/Temp con nombres aleatorios.
• Solicitudes de acceso a webcam cuando el usuario no ejecuta aplicaciones de videoconferencia.
• Incremento de capturas de pantalla o actividad de portapapeles sin justificación operativa.

Conclusión

Stealerium une robo de credenciales y control de webcams para maximizar el beneficio del atacante mediante acceso no autorizado y chantaje digital. Los equipos de TI que actúan con rapidez —endureciendo endpoints, limitando el egress, impidiendo el almacenamiento de contraseñas en navegadores y vigilando el acceso a artefactos de sesión— reducen drásticamente la superficie de ataque. Refuerza la autenticación con FIDO2, aplica telemetría útil y establece procedimientos de revocación de tokens. Mantén una postura proactiva: la combinación de higiene básica, controles técnicos y respuesta disciplinada marca la diferencia.