GETOVERX FORUM Community Support
StormKitty - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Stealers (https://forum.getoverx.com/forumdisplay.php?fid=28)
+--- Thread: StormKitty (/showthread.php?tid=115)

StormKitty - mrwebfeeder - 12-05-2025

Nombre: StormKitty

Categoría: Infostealer + Keylogger + Clipper (C#)

Fecha de descubrimiento: Actividad documentada aproximadamente desde 2020; activo hasta la actualidad

Comportamiento (lo que hace y archivos que infecta):
StormKitty es un stealer escrito en C# que combina varias funciones:
- Robo de credenciales, cookies e historiales de navegadores.
- Keylogging (registro de pulsaciones).
- Stealer de wallets de criptomonedas.
- Clipper: reemplaza direcciones de criptomonedas en el portapapeles para redirigir pagos al atacante.
- Recolección de información del sistema (procesos, hardware, software instalado).

Distribución habitual:
- Empaquetado junto con otros malware (por ejemplo con RATs o loaders).
- Ejecutables disfrazados de herramientas legítimas o cracks.
- Campañas de phishing y descargas desde sitios dudosos.

Los archivos afectados incluyen:
- Bases de datos de navegadores y aplicaciones con credenciales.
- Archivos de configuración de wallets.
- Archivos temporales donde agrupa la data robada antes de enviarla al C2.

Persistencia:
StormKitty suele:
- Guardar su ejecutable en carpetas de usuario (ej. %APPDATA%).
- Crear entradas en el Registro para autoejecución (Run).
- En algunos casos, modificar accesos directos o utilizar scripts adicionales para mantenerse tras reinicios.
Puede operar de forma silenciosa, sin mostrar ventanas visibles, haciendo difícil para el usuario detectar su presencia.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como StormKitty:
Code:
0a3a0c19a18ad4ea4ab933ca094b21bbf2db42e2a602abc7d3d00d37b43c305d

Mitigación con GetOverX Shield v3.0.2.0 o Superior:
  • Antivirus:
    Realizar un escaneo completo para localizar y eliminar el ejecutable StormKitty y cualquier empaquetador asociado.

  • Firewall:
    Bloquear conexiones salientes hacia dominios/IPs asociados a paneles de control de stealers y revisar tráfico HTTP/HTTPS anómalo generado por procesos que no deberían tener acceso a Internet.

  • HIPS/EDR:
    Activar reglas para detectar:
    - Acceso masivo a bases de datos de navegadores/wallets.
    - Uso de APIs de teclado (keylogging) y captura de pantalla.
    - Manipulación del portapapeles con patrones de direcciones de criptomonedas.
    Cuando se detecten estos comportamientos, matar el proceso y bloquear el binario.

  • Sandbox:
    Analizar en Sandbox:
    - Ejecutables desconocidos que se presenten como “herramientas de seguridad”, “cracks” o “optimizadores”.
    Observar si inician comunicaciones con C2 y acceden a credenciales/local storage del navegador.

  • Medidas posteriores al incidente:
    - Cambiar todas las contraseñas escritas durante el periodo de posible infección.
    - Verificar wallets de criptomonedas por transacciones no autorizadas.
    - Revisar accesos a correo, redes sociales y servicios críticos desde ubicaciones sospechosas.