12-05-2025, 04:31 PM
Nombre: StormKitty
Categoría: Infostealer + Keylogger + Clipper (C#)
Fecha de descubrimiento: Actividad documentada aproximadamente desde 2020; activo hasta la actualidad
Comportamiento (lo que hace y archivos que infecta):
StormKitty es un stealer escrito en C# que combina varias funciones:
- Robo de credenciales, cookies e historiales de navegadores.
- Keylogging (registro de pulsaciones).
- Stealer de wallets de criptomonedas.
- Clipper: reemplaza direcciones de criptomonedas en el portapapeles para redirigir pagos al atacante.
- Recolección de información del sistema (procesos, hardware, software instalado).
Distribución habitual:
- Empaquetado junto con otros malware (por ejemplo con RATs o loaders).
- Ejecutables disfrazados de herramientas legítimas o cracks.
- Campañas de phishing y descargas desde sitios dudosos.
Los archivos afectados incluyen:
- Bases de datos de navegadores y aplicaciones con credenciales.
- Archivos de configuración de wallets.
- Archivos temporales donde agrupa la data robada antes de enviarla al C2.
Persistencia:
StormKitty suele:
- Guardar su ejecutable en carpetas de usuario (ej. %APPDATA%).
- Crear entradas en el Registro para autoejecución (Run).
- En algunos casos, modificar accesos directos o utilizar scripts adicionales para mantenerse tras reinicios.
Puede operar de forma silenciosa, sin mostrar ventanas visibles, haciendo difícil para el usuario detectar su presencia.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como StormKitty:
Mitigación con GetOverX Shield v3.0.2.0 o Superior:
Categoría: Infostealer + Keylogger + Clipper (C#)
Fecha de descubrimiento: Actividad documentada aproximadamente desde 2020; activo hasta la actualidad
Comportamiento (lo que hace y archivos que infecta):
StormKitty es un stealer escrito en C# que combina varias funciones:
- Robo de credenciales, cookies e historiales de navegadores.
- Keylogging (registro de pulsaciones).
- Stealer de wallets de criptomonedas.
- Clipper: reemplaza direcciones de criptomonedas en el portapapeles para redirigir pagos al atacante.
- Recolección de información del sistema (procesos, hardware, software instalado).
Distribución habitual:
- Empaquetado junto con otros malware (por ejemplo con RATs o loaders).
- Ejecutables disfrazados de herramientas legítimas o cracks.
- Campañas de phishing y descargas desde sitios dudosos.
Los archivos afectados incluyen:
- Bases de datos de navegadores y aplicaciones con credenciales.
- Archivos de configuración de wallets.
- Archivos temporales donde agrupa la data robada antes de enviarla al C2.
Persistencia:
StormKitty suele:
- Guardar su ejecutable en carpetas de usuario (ej. %APPDATA%).
- Crear entradas en el Registro para autoejecución (Run).
- En algunos casos, modificar accesos directos o utilizar scripts adicionales para mantenerse tras reinicios.
Puede operar de forma silenciosa, sin mostrar ventanas visibles, haciendo difícil para el usuario detectar su presencia.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como StormKitty:
Code:
0a3a0c19a18ad4ea4ab933ca094b21bbf2db42e2a602abc7d3d00d37b43c305dMitigación con GetOverX Shield v3.0.2.0 o Superior:
- Antivirus:
Realizar un escaneo completo para localizar y eliminar el ejecutable StormKitty y cualquier empaquetador asociado.
- Firewall:
Bloquear conexiones salientes hacia dominios/IPs asociados a paneles de control de stealers y revisar tráfico HTTP/HTTPS anómalo generado por procesos que no deberían tener acceso a Internet.
- HIPS/EDR:
Activar reglas para detectar:
- Acceso masivo a bases de datos de navegadores/wallets.
- Uso de APIs de teclado (keylogging) y captura de pantalla.
- Manipulación del portapapeles con patrones de direcciones de criptomonedas.
Cuando se detecten estos comportamientos, matar el proceso y bloquear el binario.
- Sandbox:
Analizar en Sandbox:
- Ejecutables desconocidos que se presenten como “herramientas de seguridad”, “cracks” o “optimizadores”.
Observar si inician comunicaciones con C2 y acceden a credenciales/local storage del navegador.
- Medidas posteriores al incidente:
- Cambiar todas las contraseñas escritas durante el periodo de posible infección.
- Verificar wallets de criptomonedas por transacciones no autorizadas.
- Revisar accesos a correo, redes sociales y servicios críticos desde ubicaciones sospechosas.