Por revistaeyn.com
Los infostealers son un tipo de código malicioso que buscan robar información de manera silenciosa y que se convirtieron en una herramienta altamente utilizada por los ciberatacantes.
Desde el laboratorio de ESET se identificaron múltiples campañas que tienen como carga útil (payload) final un infostealer. Dentro de las identificadas AsyncRAT es la más frecuente, pero también se utilizan familias como HoudRAT, Agent Tesla, LummaStealer o FormBook. Sin embargo, y según el ESET Threat Report H12025, SnakeStealer es la familia que mayor detección ha tenido en lo que va del 2025.
“SnakeStealer volvió a ganar popularidad en el ambiente cibercriminal, y no por casualidad: tras la caída de Agent Tesla, otro infostealer popular, sus propios operadores recomendaron a SnakeStealer como reemplazo en los canales de Telegram donde lo ofrecían como MaaS”, comenta Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Durante 2020 y 2021 este código malicioso vio su pico en cuanto a campañas desplegadas asociadas a él, pero, según ESET, sin ningún tipo de preferencia aparente con respecto a su geografía. El malware fue descubierto en distintos países del mundo, sin reportes de campañas completas en Latinoamérica.
Con el correr de los años, la forma en la que el payload llegaba a la víctima se fue diversificando, aunque el primer contacto se sigue dando mayormente mediante un adjunto vía phishing: desde el mismo payload comprimido con contraseña, pasando por archivos de tipo menos usuales (como RTF o ISO) como downloaders, o incluso empaquetado con otras amenazas. Desde ESET comentan que existen algunos casos reportados de SnakeStealer camuflado bajo cracks o aplicaciones falsas en la web, aunque parecen ser ocasiones esporádicas.
Entre las capacidades más utilizadas por SnakeStealer, ESET destaca:
· Funcionalidades evasivas, como matar procesos asociados con herramientas de seguridad, de análisis de malware o debuggers en el equipo víctima, así como verificaciones de hardware para descartar el uso de una máquina virtual.
· Persistencia mediante la modificación de registros de arranque de Windows.
· Robo de credenciales almacenadas en navegadores, bases de datos, clientes de correo o chat (como Discord) y de redes WiFi.
· Captura del portapapeles y keylogging.
· Toma de capturas de pantalla.
Desde ESET comparten algunas buenas prácticas para reducir el riesgo de infección:
· Mantener el sistema operativo y las aplicaciones actualizadas.
· Utilizar software de seguridad tanto en computadoras como dispositivos móviles.
· Desconfiar de adjuntos y enlaces en correos o mensajes no solicitados. Si provienen de alguna entidad o marca reconocida, contactarnos mediante algún medio oficial para determinar la veracidad del mensaje.
· Activar la autenticación multifactor (MFA) en servicios y programas que lo permitan, para evitar un acceso indebido en caso de que nuestra contraseña sea robada.
· En caso de sospecha de infección, cambiar todas las contraseñas desde otro dispositivo, revocar sesiones ya abiertas y mantenerse alerta ante movimientos sospechosos en cuentas.
