12-05-2025, 05:12 PM
Nombre:
StealC (StealC v2)
Categoría:
Infostealer (credenciales, wallets, datos de aplicaciones)
Fecha de descubrimiento:
Aproximadamente finales de 2022
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de muestra pública (StealC):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
StealC (StealC v2)
Categoría:
Infostealer (credenciales, wallets, datos de aplicaciones)
Fecha de descubrimiento:
Aproximadamente finales de 2022
Comportamiento (lo que hace y archivos que infecta):
- Es un infostealer que copia técnicas de Vidar y Raccoon; muy activo en 2023–2025.
- Roba datos de navegadores, extensiones, wallets, Steam, Discord, Telegram, Outlook, etc.
- Usado en campañas que abusan de software pirata, paquetes de juegos, archivos de Blender y otros contenidos creativos.
- Descarga DLLs adicionales (por ejemplo
) desde el C2 para robar datos.Code:sqlite3.dll
- Empieza con loaders que pueden establecer tareas programadas u otras técnicas de persistencia.
Ejemplo de muestra pública (StealC):
Code:
a834be6d2bec10f39019606451b507742b7e87ac8d19dc0643ae58df183f773c- Antivirus:
- Analizar proyectos y archivos descargados de comunidades de juegos, mods o recursos 3D cuando provienen de fuentes no confiables.
- Bloquear y poner en cuarentena binarios que descarguen múltiples DLLs desde Internet nada más ejecutarse.
- Analizar proyectos y archivos descargados de comunidades de juegos, mods o recursos 3D cuando provienen de fuentes no confiables.
- Firewall:
- Inspeccionar tráfico hacia dominios recientemente registrados o sin reputación poco después de ejecutar instaladores sospechosos.
- Limitar la capacidad de estaciones de trabajo de diseño/juegos para comunicarse directamente con Internet sin pasar por proxies filtrados.
- Inspeccionar tráfico hacia dominios recientemente registrados o sin reputación poco después de ejecutar instaladores sospechosos.
- HIPS/EDR:
- Detectar comportamiento de carga dinámica de DLLs desde carpetas temporales.
- Configurar respuesta automática para bloquear este patrón cuando se asocie a robo de datos de aplicaciones.
- Detectar comportamiento de carga dinámica de DLLs desde carpetas temporales.
- Sandbox:
- Probar “packs” de herramientas y cracks gráficos en Sandbox antes de habilitarlos a usuarios creativos.
- Revisar si el archivo realiza numerosas consultas a perfiles de apps (Steam, Discord, wallets) durante la ejecución.
- Probar “packs” de herramientas y cracks gráficos en Sandbox antes de habilitarlos a usuarios creativos.
- Medidas posteriores al incidente:
- Cambiar contraseñas de plataformas de juegos, mensajería y cuentas asociadas.
- Verificar si se ha utilizado la cuenta de la víctima para estafas adicionales (venta fraudulenta de ítems, etc.).
- Cambiar contraseñas de plataformas de juegos, mensajería y cuentas asociadas.