CryptBot – Infostealer – 2019

**mrwebfeeder** · 12-05-2025, 05:03 PM

Nombre:
CryptBot (también visto como Cryptbot Stealer)
Categoría:
Infostealer (ladrón de información, credenciales y wallets)
Fecha de descubrimiento:
Finales de 2019
Comportamiento (lo que hace y archivos que infecta):

Suele llegar al equipo a través de instaladores falsos de software “crackeado” (Activators, KMS falsos, versiones piratas de herramientas de edición, etc.) o descargas desde sitios de dudosa reputación.
Roba credenciales de navegadores (Chrome, Edge, Firefox, Brave, Opera), cookies, historial y formularios.
Extrae información de wallets de criptomonedas y extensiones de navegador relacionadas con cripto.
Puede recopilar información del sistema (versión de Windows, procesos, ubicación aproximada) y enviarla al servidor de mando y control (C2).
No cifra archivos como un ransomware, pero sí puede permitir posteriormente la instalación de otros malware (ransomware, RATs, mineros, etc.).

Persistencia:

Copia el ejecutable malicioso dentro de carpetas de usuario (por ejemplo en

Code:
%AppData%
,

Code:
%LocalAppData%
o subcarpetas engañosas con nombres de software legítimo).
Crea claves de registro en

Code:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
o equivalentes para ejecutarse al inicio.
En algunas variantes utiliza tareas programadas para relanzarse periódicamente o tras un fallo del sistema.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (CryptBot):

Code:
54f791796231f7899d753f0ba44e7387bf7748dc7a28adbd28f2067c9ab88605

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Ejecutar un análisis completo del sistema, priorizando las carpetas de descargas (
  
  Code:
  Downloads
  ), escritorio y rutas donde el usuario guarde cracks/activadores.
- Habilitar la detección agresiva de PUA/PUS (Potentially Unwanted Applications) dentro de GetOverX Shield para detectar instaladores “truchos”.
- Poner en cuarentena cualquier binario sospechoso que se ejecute desde
  
  Code:
  %Temp%
  ,
  
  Code:
  %AppData%
  o rutas de crack poco habituales.
Firewall:
- Bloquear conexiones salientes a dominios/IP desconocidos generados por procesos ubicados en rutas de usuario (no en
  
  Code:
  C:\Program Files
  ni
  
  Code:
  C:\Windows
  ).
- Crear una regla para bloquear conexiones HTTP/HTTPS de ejecutables ubicados en carpetas de descarga/cracks, salvo que hayan sido verificados.
- En caso de incidente confirmado, aislar temporalmente el host (bloquear todo tráfico excepto hacia los servidores de actualización de GetOverX Shield).
HIPS/EDR:
- Configurar reglas para alertar si un proceso no firmado intenta leer en masa bases de datos de navegadores (archivos
  
  Code:
  Login Data
  ,
  
  Code:
  Cookies
  ,
  
  Code:
  Web Data
  , etc.).
- Habilitar respuesta automática: matar procesos que intenten enumerar wallets o extensiones cripto fuera de navegadores legítimos.
- Registrar y, si es posible, bloquear la creación de nuevos valores en
  
  Code:
  Run
  /
  
  Code:
  RunOnce
  por procesos no firmados.
Sandbox:
- Probar todos los cracks, activadores y “setup modificados” dentro del Sandbox de GetOverX Shield antes de ejecutarlos en el sistema real.
- Monitorizar en la Sandbox si el instalador intenta leer bases de datos de navegador o carpetas de wallets inmediatamente después de ejecutarse.
Medidas posteriores al incidente:
- Cambiar todas las contraseñas de servicios críticos (correo, banca, redes sociales, panel de hosting, VPN, etc.) desde un equipo limpio.
- Revocar sesiones activas en servicios en la nube (Google, Microsoft, etc.).
- Revisar actividad en wallets de criptomonedas y, si es posible, mover fondos a nuevas direcciones con claves regeneradas.
- Verificar que no se han desplegado otros malware secundarios (RAT, ransomware, mineros).

Login




Remember me Lost Password?