<![CDATA[GETOVERX FORUM Community Support

<![CDATA[GETOVERX FORUM Community Support - Stealers]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 09:59:29 +0000 MyBB <![CDATA[AMOS (Atomic macOS Stealer) – Infostealer – 2023]]> https://forum.getoverx.com/showthread.php?tid=129 Fri, 05 Dec 2025 17:17:36 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=129 Nombre:
Atomic macOS Stealer (AMOS)
Categoría:
Infostealer para macOS (MaaS)
Fecha de descubrimiento:
Alrededor de 2023
Comportamiento (lo que hace y archivos que infecta):

Malware para macOS capaz de robar:
- Contraseñas del llavero (Keychain).
- Credenciales de navegador, autofill, wallets, notas, etc.
Vendido como servicio en Telegram, con campañas continuas y mejoras constantes (incluso backdoor persistente)
Se distribuye como:
- Apps “crackeadas” para macOS (ej. copias pirata de apps de pago).
- Sitios y GitHub Pages falsos que suplantan software legítimo (Homebrew, apps para Mac, etc.).

Persistencia:

Aprovecha instaladores manipulados y scripts (por ejemplo AppleScript o comandos de terminal) que el usuario copia y pega manualmente.
Nuevas versiones incluyen backdoor capaz de sobrevivir reinicios y descargar más malware.

Hash real de referencia (SHA-256):
Ejemplo de payload AMOS usado en campañas ClickFix:

Code:
94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5

Mitigación con GetOverX Shield v3.0.2.0 o superior:
(Nota: GetOverX Shield protege principalmente endpoints Windows, pero puede ayudar a proteger infraestructura Windows donde se descargan o almacenan cracks para macOS.)

Antivirus:
- Analizar con GetOverX Shield cualquier archivo
  
  Code:
  .zip
  ,
  
  Code:
  .dmg
  o instalador de macOS que se descargue y almacene en servidores Windows o estaciones de trabajo Windows antes de ser transferido al Mac.
- Bloquear y registrar archivos que se identifiquen como loaders de AMOS u otros stealers para macOS.
Firewall:
- En servidores de archivos Windows, bloquear tráfico sospechoso hacia dominios conocidos por distribuir AMOS (para evitar que usuarios descarguen las “apps crackeadas” desde esos equipos).
HIPS/EDR:
- Detectar en endpoints Windows el uso de navegadores para descargar repetidamente cracks de macOS desde dominios sospechosos y generar alertas de concienciación.
- Registrar este patrón para entrenamiento y política interna.
Sandbox:
- Analizar en Sandbox Windows cualquier archivo comprimido que supuestamente contenga instaladores de macOS, verificando si lleva scripts o binarios adicionales.
Medidas posteriores al incidente:
- En Macs potencialmente infectados, utilizar soluciones específicas para macOS y seguir guías de respuesta ante AMOS (borrado, reinstalación y rotación de credenciales).
- Cambiar todas las contraseñas y revisar accesos a servicios vinculados a Apple ID, wallets y cuentas corporativas.
- En entornos mixtos (Windows/macOS), definir una política clara que prohíba cracks en ambos sistemas y centralizar descargas en repositorios controlados.

]]> Nombre:
Atomic macOS Stealer (AMOS)
Categoría:
Infostealer para macOS (MaaS)
Fecha de descubrimiento:
Alrededor de 2023
Comportamiento (lo que hace y archivos que infecta):

Malware para macOS capaz de robar:
- Contraseñas del llavero (Keychain).
- Credenciales de navegador, autofill, wallets, notas, etc.
Vendido como servicio en Telegram, con campañas continuas y mejoras constantes (incluso backdoor persistente)
Se distribuye como:
- Apps “crackeadas” para macOS (ej. copias pirata de apps de pago).
- Sitios y GitHub Pages falsos que suplantan software legítimo (Homebrew, apps para Mac, etc.).

Persistencia:

Aprovecha instaladores manipulados y scripts (por ejemplo AppleScript o comandos de terminal) que el usuario copia y pega manualmente.
Nuevas versiones incluyen backdoor capaz de sobrevivir reinicios y descargar más malware.

Hash real de referencia (SHA-256):
Ejemplo de payload AMOS usado en campañas ClickFix:

Code:
94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5

Antivirus:
- Analizar con GetOverX Shield cualquier archivo
  
  Code:
  .zip
  ,
  
  Code:
  .dmg
  o instalador de macOS que se descargue y almacene en servidores Windows o estaciones de trabajo Windows antes de ser transferido al Mac.
- Bloquear y registrar archivos que se identifiquen como loaders de AMOS u otros stealers para macOS.
Firewall:
- En servidores de archivos Windows, bloquear tráfico sospechoso hacia dominios conocidos por distribuir AMOS (para evitar que usuarios descarguen las “apps crackeadas” desde esos equipos).
HIPS/EDR:
- Detectar en endpoints Windows el uso de navegadores para descargar repetidamente cracks de macOS desde dominios sospechosos y generar alertas de concienciación.
- Registrar este patrón para entrenamiento y política interna.
Sandbox:
- Analizar en Sandbox Windows cualquier archivo comprimido que supuestamente contenga instaladores de macOS, verificando si lleva scripts o binarios adicionales.
Medidas posteriores al incidente:
- En Macs potencialmente infectados, utilizar soluciones específicas para macOS y seguir guías de respuesta ante AMOS (borrado, reinstalación y rotación de credenciales).
- Cambiar todas las contraseñas y revisar accesos a servicios vinculados a Apple ID, wallets y cuentas corporativas.
- En entornos mixtos (Windows/macOS), definir una política clara que prohíba cracks en ambos sistemas y centralizar descargas en repositorios controlados.

]]> <![CDATA[Aurora Stealer – Infostealer – 2022]]> https://forum.getoverx.com/showthread.php?tid=128 Fri, 05 Dec 2025 17:13:48 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=128 Nombre:
Aurora Stealer
Categoría:
Infostealer (MaaS, muy usado por “traffers”)
Fecha de descubrimiento:
Aproximadamente 2022
Comportamiento (lo que hace y archivos que infecta):

Distribuido como servicio, con fuerte apoyo de equipos de tráfico (“traffers”).
Roba cookies, credenciales, wallets, datos de navegadores y otra información sensible.
Usado en campañas con anuncios falsos de software (por ejemplo Notepad++), sitios de descargas pirata y páginas de phishing.

Persistencia:

Se instala en rutas de usuario y puede mantener persistencia a través de claves de inicio automático.
Usa infraestructura C2 que cambia con frecuencia y técnicas de ofuscación para evadir firmas.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Aurora Stealer):

Code:
c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar descargables provenientes de anuncios patrocinados que prometen “descargas rápidas” o versiones modificadas de software popular.
- Bloquear ejecutables que realicen acceso masivo a directorios de datos de navegador.
Firewall:
- Monitorizar conexiones a IPs/puertos marcados como C2 de Aurora.
- En caso de detección, aislar el host de la red mientras se realiza análisis forense.
HIPS/EDR:
- Configurar reglas para detectar acceso simultáneo a múltiples perfiles de navegador y exfiltración de datos en una sola sesión.
- Activar respuesta automática (terminar proceso + bloquear hash).
Sandbox:
- Probar instaladores descargados desde enlaces “raros” en Sandbox, verificando si intentan contactar inmediatamente con C2.
- No desplegar en producción ningún ejecutable que inicie tráfico a dominios sin reputación justo tras la instalación.
Medidas posteriores al incidente:
- Rotar todas las credenciales expuestas y revisar accesos sospechosos en servicios en la nube.
- Analizar si la máquina ha sido usada como punto de salto para nuevas infecciones.

]]> Nombre:
Aurora Stealer
Categoría:
Infostealer (MaaS, muy usado por “traffers”)
Fecha de descubrimiento:
Aproximadamente 2022
Comportamiento (lo que hace y archivos que infecta):

Distribuido como servicio, con fuerte apoyo de equipos de tráfico (“traffers”).
Roba cookies, credenciales, wallets, datos de navegadores y otra información sensible.
Usado en campañas con anuncios falsos de software (por ejemplo Notepad++), sitios de descargas pirata y páginas de phishing.

Persistencia:

Se instala en rutas de usuario y puede mantener persistencia a través de claves de inicio automático.
Usa infraestructura C2 que cambia con frecuencia y técnicas de ofuscación para evadir firmas.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Aurora Stealer):

Code:
c148c449e1f6c4c53a7278090453d935d1ab71c3e8b69511f98993b6057f612d

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar descargables provenientes de anuncios patrocinados que prometen “descargas rápidas” o versiones modificadas de software popular.
- Bloquear ejecutables que realicen acceso masivo a directorios de datos de navegador.
Firewall:
- Monitorizar conexiones a IPs/puertos marcados como C2 de Aurora.
- En caso de detección, aislar el host de la red mientras se realiza análisis forense.
HIPS/EDR:
- Configurar reglas para detectar acceso simultáneo a múltiples perfiles de navegador y exfiltración de datos en una sola sesión.
- Activar respuesta automática (terminar proceso + bloquear hash).
Sandbox:
- Probar instaladores descargados desde enlaces “raros” en Sandbox, verificando si intentan contactar inmediatamente con C2.
- No desplegar en producción ningún ejecutable que inicie tráfico a dominios sin reputación justo tras la instalación.
Medidas posteriores al incidente:
- Rotar todas las credenciales expuestas y revisar accesos sospechosos en servicios en la nube.
- Analizar si la máquina ha sido usada como punto de salto para nuevas infecciones.

]]> <![CDATA[StealC – Infostealer – 2022]]> https://forum.getoverx.com/showthread.php?tid=127 Fri, 05 Dec 2025 17:12:47 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=127 Nombre:
StealC (StealC v2)
Categoría:
Infostealer (credenciales, wallets, datos de aplicaciones)
Fecha de descubrimiento:
Aproximadamente finales de 2022
Comportamiento (lo que hace y archivos que infecta):

Es un infostealer que copia técnicas de Vidar y Raccoon; muy activo en 2023–2025.
Roba datos de navegadores, extensiones, wallets, Steam, Discord, Telegram, Outlook, etc.
Usado en campañas que abusan de software pirata, paquetes de juegos, archivos de Blender y otros contenidos creativos.

Persistencia:

Descarga DLLs adicionales (por ejemplo

Code:
sqlite3.dll
) desde el C2 para robar datos.
Empieza con loaders que pueden establecer tareas programadas u otras técnicas de persistencia.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (StealC):

Code:
a834be6d2bec10f39019606451b507742b7e87ac8d19dc0643ae58df183f773c

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar proyectos y archivos descargados de comunidades de juegos, mods o recursos 3D cuando provienen de fuentes no confiables.
- Bloquear y poner en cuarentena binarios que descarguen múltiples DLLs desde Internet nada más ejecutarse.
Firewall:
- Inspeccionar tráfico hacia dominios recientemente registrados o sin reputación poco después de ejecutar instaladores sospechosos.
- Limitar la capacidad de estaciones de trabajo de diseño/juegos para comunicarse directamente con Internet sin pasar por proxies filtrados.
HIPS/EDR:
- Detectar comportamiento de carga dinámica de DLLs desde carpetas temporales.
- Configurar respuesta automática para bloquear este patrón cuando se asocie a robo de datos de aplicaciones.
Sandbox:
- Probar “packs” de herramientas y cracks gráficos en Sandbox antes de habilitarlos a usuarios creativos.
- Revisar si el archivo realiza numerosas consultas a perfiles de apps (Steam, Discord, wallets) durante la ejecución.
Medidas posteriores al incidente:
- Cambiar contraseñas de plataformas de juegos, mensajería y cuentas asociadas.
- Verificar si se ha utilizado la cuenta de la víctima para estafas adicionales (venta fraudulenta de ítems, etc.).

]]> Nombre:
StealC (StealC v2)
Categoría:
Infostealer (credenciales, wallets, datos de aplicaciones)
Fecha de descubrimiento:
Aproximadamente finales de 2022
Comportamiento (lo que hace y archivos que infecta):

Es un infostealer que copia técnicas de Vidar y Raccoon; muy activo en 2023–2025.
Roba datos de navegadores, extensiones, wallets, Steam, Discord, Telegram, Outlook, etc.
Usado en campañas que abusan de software pirata, paquetes de juegos, archivos de Blender y otros contenidos creativos.

Persistencia:

Descarga DLLs adicionales (por ejemplo

Code:
sqlite3.dll
) desde el C2 para robar datos.
Empieza con loaders que pueden establecer tareas programadas u otras técnicas de persistencia.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (StealC):

Code:
a834be6d2bec10f39019606451b507742b7e87ac8d19dc0643ae58df183f773c

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar proyectos y archivos descargados de comunidades de juegos, mods o recursos 3D cuando provienen de fuentes no confiables.
- Bloquear y poner en cuarentena binarios que descarguen múltiples DLLs desde Internet nada más ejecutarse.
Firewall:
- Inspeccionar tráfico hacia dominios recientemente registrados o sin reputación poco después de ejecutar instaladores sospechosos.
- Limitar la capacidad de estaciones de trabajo de diseño/juegos para comunicarse directamente con Internet sin pasar por proxies filtrados.
HIPS/EDR:
- Detectar comportamiento de carga dinámica de DLLs desde carpetas temporales.
- Configurar respuesta automática para bloquear este patrón cuando se asocie a robo de datos de aplicaciones.
Sandbox:
- Probar “packs” de herramientas y cracks gráficos en Sandbox antes de habilitarlos a usuarios creativos.
- Revisar si el archivo realiza numerosas consultas a perfiles de apps (Steam, Discord, wallets) durante la ejecución.
Medidas posteriores al incidente:
- Cambiar contraseñas de plataformas de juegos, mensajería y cuentas asociadas.
- Verificar si se ha utilizado la cuenta de la víctima para estafas adicionales (venta fraudulenta de ítems, etc.).

]]> <![CDATA[RisePro – Infostealer – 2022]]> https://forum.getoverx.com/showthread.php?tid=126 Fri, 05 Dec 2025 17:11:34 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=126 Nombre:
RisePro Stealer
Categoría:
Infostealer (MaaS)
Fecha de descubrimiento:
Finales de 2022
Comportamiento (lo que hace y archivos que infecta):

Infostealer multifuncional vendido como servicio, con fuerte actividad desde 2023–2024.
Roba credenciales de navegadores, wallets, clientes de mensajería y datos del sistema.
Ha sido usado en campañas que distribuyen cracks falsos y utilidades “premium” gratuitas, incluyendo campañas dirigidas a desarrolladores (ej. “gitgub” en GitHub).

Instaladores (.MSI o .EXE) copian el payload a rutas de usuario y añaden claves en

Code:
Run
o tareas programadas.
Emplea cifrado y ofuscación en la comunicación con C2.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (RisePro Stealer):

Code:
8bfa18179880147b29fd76adbba9c2818d5ba600ef22f17a5fcb9897287c4d34

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar de forma rígida cualquier instalador de herramientas de desarrollo o utilidades descargadas de páginas no oficiales.
- Cuarentenar binarios que muestren comportamiento de enumeración de credenciales o wallets justo tras su ejecución.
Firewall:
- Monitorizar conexiones a servicios de mensajería cifrada o canales ocultos utilizados por campañas de RisePro (por ejemplo, Telegram vía APIs no estándar).
- Bloquear tráfico saliente sospechoso que aparezca inmediatamente después de ejecutar un instalador reciente.
HIPS/EDR:
- Detectar patrones de robo de credenciales (acceso simultáneo a múltiples bases de datos de navegadores).
- Configurar respuesta automática para matar procesos y bloquear hashes cuando se detecte este patrón.
Sandbox:
- Probar “instaladores premium gratis” o herramientas administrativas en Sandbox antes de su despliegue.
- Analizar si el instalador descarga payloads adicionales desde dominios relacionados con campañas conocidas de RisePro.
Medidas posteriores al incidente:
- Cambiar contraseñas, regenerar claves API y revisar repositorios / cuentas de desarrollo afectados.
- Auditar accesos a GitHub, GitLab o repositorios corporativos para detectar clonaciones sospechosas.

]]> Nombre:
RisePro Stealer
Categoría:
Infostealer (MaaS)
Fecha de descubrimiento:
Finales de 2022
Comportamiento (lo que hace y archivos que infecta):

Infostealer multifuncional vendido como servicio, con fuerte actividad desde 2023–2024.
Roba credenciales de navegadores, wallets, clientes de mensajería y datos del sistema.
Ha sido usado en campañas que distribuyen cracks falsos y utilidades “premium” gratuitas, incluyendo campañas dirigidas a desarrolladores (ej. “gitgub” en GitHub).

Instaladores (.MSI o .EXE) copian el payload a rutas de usuario y añaden claves en

Code:
Run
o tareas programadas.
Emplea cifrado y ofuscación en la comunicación con C2.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (RisePro Stealer):

Code:
8bfa18179880147b29fd76adbba9c2818d5ba600ef22f17a5fcb9897287c4d34

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar de forma rígida cualquier instalador de herramientas de desarrollo o utilidades descargadas de páginas no oficiales.
- Cuarentenar binarios que muestren comportamiento de enumeración de credenciales o wallets justo tras su ejecución.
Firewall:
- Monitorizar conexiones a servicios de mensajería cifrada o canales ocultos utilizados por campañas de RisePro (por ejemplo, Telegram vía APIs no estándar).
- Bloquear tráfico saliente sospechoso que aparezca inmediatamente después de ejecutar un instalador reciente.
HIPS/EDR:
- Detectar patrones de robo de credenciales (acceso simultáneo a múltiples bases de datos de navegadores).
- Configurar respuesta automática para matar procesos y bloquear hashes cuando se detecte este patrón.
Sandbox:
- Probar “instaladores premium gratis” o herramientas administrativas en Sandbox antes de su despliegue.
- Analizar si el instalador descarga payloads adicionales desde dominios relacionados con campañas conocidas de RisePro.
Medidas posteriores al incidente:
- Cambiar contraseñas, regenerar claves API y revisar repositorios / cuentas de desarrollo afectados.
- Auditar accesos a GitHub, GitLab o repositorios corporativos para detectar clonaciones sospechosas.

]]> <![CDATA[Raccoon Stealer v2 – Infostealer – 2019]]> https://forum.getoverx.com/showthread.php?tid=125 Fri, 05 Dec 2025 17:10:39 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=125 Nombre:
Raccoon Stealer (Raccoon, RecordBreaker, Raccoon v2)
Categoría:
Infostealer (credenciales, cookies, wallets)
Fecha de descubrimiento:
Alrededor de 2019
Comportamiento (lo que hace y archivos que infecta):

Se distribuye como servicio (MaaS) a otros criminales.
Raccoon Stealer v2 ha sido visto específicamente propagándose mediante cracks y keygens falsos desde 2022.
Roba credenciales, cookies, datos de autofill, criptowallets y otra información sensible.
Puede recolectar información de sistema y enviar los datos a C2 usando infraestructura ofuscada (por ejemplo, URLs señuelo).

Persistencia:

Copia el ejecutable en ubicaciones de usuario y crea claves en

Code:
Run
para ejecutarse en cada inicio.
A veces manipula configuraciones del navegador o añade tareas programadas para sobrevivir a reinicios.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Raccoon Stealer v2):

Code:
0ce89e883be37a6576650db92a8da982fb0514f7ecb7747a0ed1c928118a4cb2

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Escanear de forma prioritaria cualquier keygen o crack descargado, especialmente si viene acompañado de instrucciones para desactivar antivirus.
- Habilitar registros detallados para identificar en qué momento y desde qué ruta se ejecutó el binario malicioso.
Firewall:
- Restringir todo tráfico a dominios marcados como C2 de stealer cuando se disponga de IOCs.
- Aplicar segmentación de red para que un equipo comprometido no pueda alcanzar recursos sensibles sin pasar por controles adicionales.
HIPS/EDR:
- Detectar intentos de enumeración de navegadores, clientes de correo y aplicaciones de mensajería.
- Bloquear procesos que, sin ser navegadores, traten de acceder a archivos de credenciales o cookies.
Sandbox:
- Probar cracks en Sandbox y revisar si se comunican con
  
  Code:
  /gate/
  o recursos similares que suelen usar muchos stealers (incluido Raccoon).
Medidas posteriores al incidente:
- Cambiar todas las credenciales almacenadas en navegadores y aplicaciones del equipo afectado.
- Investigar si los datos robados han sido usados para accesos no autorizados.
- Eliminar completamente el uso de cracks en entornos críticos.

]]> Nombre:
Raccoon Stealer (Raccoon, RecordBreaker, Raccoon v2)
Categoría:
Infostealer (credenciales, cookies, wallets)
Fecha de descubrimiento:
Alrededor de 2019
Comportamiento (lo que hace y archivos que infecta):

Se distribuye como servicio (MaaS) a otros criminales.
Raccoon Stealer v2 ha sido visto específicamente propagándose mediante cracks y keygens falsos desde 2022.
Roba credenciales, cookies, datos de autofill, criptowallets y otra información sensible.
Puede recolectar información de sistema y enviar los datos a C2 usando infraestructura ofuscada (por ejemplo, URLs señuelo).

Persistencia:

Copia el ejecutable en ubicaciones de usuario y crea claves en

Code:
Run
para ejecutarse en cada inicio.
A veces manipula configuraciones del navegador o añade tareas programadas para sobrevivir a reinicios.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Raccoon Stealer v2):

Code:
0ce89e883be37a6576650db92a8da982fb0514f7ecb7747a0ed1c928118a4cb2

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Escanear de forma prioritaria cualquier keygen o crack descargado, especialmente si viene acompañado de instrucciones para desactivar antivirus.
- Habilitar registros detallados para identificar en qué momento y desde qué ruta se ejecutó el binario malicioso.
Firewall:
- Restringir todo tráfico a dominios marcados como C2 de stealer cuando se disponga de IOCs.
- Aplicar segmentación de red para que un equipo comprometido no pueda alcanzar recursos sensibles sin pasar por controles adicionales.
HIPS/EDR:
- Detectar intentos de enumeración de navegadores, clientes de correo y aplicaciones de mensajería.
- Bloquear procesos que, sin ser navegadores, traten de acceder a archivos de credenciales o cookies.
Sandbox:
- Probar cracks en Sandbox y revisar si se comunican con
  
  Code:
  /gate/
  o recursos similares que suelen usar muchos stealers (incluido Raccoon).
Medidas posteriores al incidente:
- Cambiar todas las credenciales almacenadas en navegadores y aplicaciones del equipo afectado.
- Investigar si los datos robados han sido usados para accesos no autorizados.
- Eliminar completamente el uso de cracks en entornos críticos.

]]> <![CDATA[Vidar – Infostealer – 2018]]> https://forum.getoverx.com/showthread.php?tid=124 Fri, 05 Dec 2025 17:09:26 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=124 Nombre:
Vidar (Vidar Stealer)
Categoría:
Infostealer (derivado de Arkei)
Fecha de descubrimiento:
Finales de 2018
Comportamiento (lo que hace y archivos que infecta):

Roba credenciales de navegadores, cookies, historiales, wallets, datos de mensajería, documentos sensibles, etc.
Se ha visto distribuido mediante:
- Malvertising en Google con links a software pirata.
- Videos de YouTube que prometen cracks o licencias gratuitas (ej. After Effects, otros programas de pago).
- Paquetes npm maliciosos y otras cadenas de ataque modernas.
Puede desplegar payloads adicionales (clipper, minero, etc.).

Persistencia:

Copia el payload en carpetas de usuario y agrega entradas en

Code:
Run
del registro.
Puede usar configuraciones cifradas para sus C2, cambiándolos con frecuencia.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Vidar):

Code:
3b58086288fb427694947353bf1eec10e368bcf98cc3cb4c221e676d47c1d6ca

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar todo contenido descargado desde enlaces de descripción de videos de YouTube que ofrezcan cracks o keygens.
- Configurar análisis automático de cualquier fichero que se ejecute desde la carpeta de descargas sin firma digital válida.
- Usar la función de cuarentena para bloquear binarios de origen dudoso que intenten leer perfiles de navegador.
Firewall:
- Monitorizar conexiones POST/GET en HTTP/HTTPS hacia dominios raros justo después de ejecutar instaladores “gratuitos”.
- En caso de detección, bloquear el tráfico saliente de ese proceso y, si es necesario, aislar el equipo.
HIPS/EDR:
- Reglas para detectar procesos que enumeren directorios de navegador y ficheros de wallets.
- Configurar acciones automáticas para terminar el proceso y bloquear su hash cuando se detecten estas acciones combinadas con tráfico de exfiltración.
Sandbox:
- Ejecutar cracks en Sandbox, observar si se conecta a C2 o descarga payloads extra.
- No confiar en instaladores empaquetados en archivos
  
  Code:
  .zip
  protegidos con contraseña típicos de escenas de piratería.
Medidas posteriores al incidente:
- Cambiar contraseñas y revocar tokens en servicios sensibles.
- Revisar si el atacante ha usado las credenciales robadas (accesos anómalos a cuentas).
- Reforzar políticas de uso aceptable y bloquear por política el uso de cracks en entornos corporativos.

]]> Nombre:
Vidar (Vidar Stealer)
Categoría:
Infostealer (derivado de Arkei)
Fecha de descubrimiento:
Finales de 2018
Comportamiento (lo que hace y archivos que infecta):

Roba credenciales de navegadores, cookies, historiales, wallets, datos de mensajería, documentos sensibles, etc.
Se ha visto distribuido mediante:
- Malvertising en Google con links a software pirata.
- Videos de YouTube que prometen cracks o licencias gratuitas (ej. After Effects, otros programas de pago).
- Paquetes npm maliciosos y otras cadenas de ataque modernas.
Puede desplegar payloads adicionales (clipper, minero, etc.).

Persistencia:

Copia el payload en carpetas de usuario y agrega entradas en

Code:
Run
del registro.
Puede usar configuraciones cifradas para sus C2, cambiándolos con frecuencia.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Vidar):

Code:
3b58086288fb427694947353bf1eec10e368bcf98cc3cb4c221e676d47c1d6ca

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar todo contenido descargado desde enlaces de descripción de videos de YouTube que ofrezcan cracks o keygens.
- Configurar análisis automático de cualquier fichero que se ejecute desde la carpeta de descargas sin firma digital válida.
- Usar la función de cuarentena para bloquear binarios de origen dudoso que intenten leer perfiles de navegador.
Firewall:
- Monitorizar conexiones POST/GET en HTTP/HTTPS hacia dominios raros justo después de ejecutar instaladores “gratuitos”.
- En caso de detección, bloquear el tráfico saliente de ese proceso y, si es necesario, aislar el equipo.
HIPS/EDR:
- Reglas para detectar procesos que enumeren directorios de navegador y ficheros de wallets.
- Configurar acciones automáticas para terminar el proceso y bloquear su hash cuando se detecten estas acciones combinadas con tráfico de exfiltración.
Sandbox:
- Ejecutar cracks en Sandbox, observar si se conecta a C2 o descarga payloads extra.
- No confiar en instaladores empaquetados en archivos
  
  Code:
  .zip
  protegidos con contraseña típicos de escenas de piratería.
Medidas posteriores al incidente:
- Cambiar contraseñas y revocar tokens en servicios sensibles.
- Revisar si el atacante ha usado las credenciales robadas (accesos anómalos a cuentas).
- Reforzar políticas de uso aceptable y bloquear por política el uso de cracks en entornos corporativos.

]]> <![CDATA[Meta Stealer – Infostealer – 2022[/b]]]> https://forum.getoverx.com/showthread.php?tid=123 Fri, 05 Dec 2025 17:08:12 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=123 Nombre:
Meta Stealer (MetaStealer, META)
Categoría:
Infostealer (derivado de RedLine, robo de credenciales y wallets)
Fecha de descubrimiento:
Marzo de 2022
Comportamiento (lo que hace y archivos que infecta):

Diseñado como evolución de RedLine: mismo tipo de robo de información, con mejoras en cifrado y exfiltración.
Roba credenciales de navegadores, cookies, autofill, wallets de criptomonedas, extensiones de navegador y cuentas de Steam u otras aplicaciones.
En campañas recientes, se ha distribuido a través de:
- Malspam.
- Instaladores falsos de programas (por ejemplo AnyDesk u otros).
- Paquetes asociados a software crackeado y utilidades “gratis” para Windows.

Persistencia:

Uso de instaladores MSI que copian el payload en rutas de usuario (

Code:
%AppData%
,

Code:
%LocalAppData%
).
Creación de tareas programadas y claves de inicio automático en el registro.
Suele ofuscar cadenas y rutas a C2 para evadir firmas basadas en texto plano.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (MetaStealer):

Code:
dd4db8e858f1bfbdb7a384e16d5da0ee97537d281c7e6d20c4f323d5ebfbc9c7

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar archivos MSI y ejecutables descargados desde páginas de “descargas gratuitas”, cracks o clones falsos de sitios legítimos.
- Configurar reglas de exclusión mínima: no excluir carpetas de descargas ni de proyectos donde los usuarios suelan ejecutar binarios desconocidos.
- Registrar y bloquear hashes detectados de Meta Stealer para evitar reinfecciones.
Firewall:
- Monitorizar conexiones salientes a dominios desconocidos relacionados con campañas de Meta (si se disponen de IOCs).
- Restringir que aplicaciones instaladas fuera de
  
  Code:
  Program Files
  establezcan conexiones directas al exterior sin supervisión.
HIPS/EDR:
- Detectar comportamientos de enumeración masiva de credenciales en navegadores y aplicaciones de escritorio.
- Configurar política de respuesta automática para:
  - Matar el proceso sospechoso.
  - Bloquear el hash.
  - Registrar el árbol de procesos completo para investigación (quién lanzó el crack, qué ejecutable lo inició, etc.).
Sandbox:
- Ejecutar en Sandbox todo instalador “gratuito” que prometa funciones premium de software de pago.
- Revisar si el binario contacta a dominios aleatorios y descarga payloads secundarios: si ocurre, marcar el crack como malicioso y no usarlo en producción.
Medidas posteriores al incidente:
- Rotar credenciales de cuentas comprometidas y revocar tokens de sesión.
- Revisar equipos vecinos en la red por posible movimiento lateral.
- Educar a usuarios sobre el riesgo específico de descargar “clientes modificados”, cracks o herramientas administrativas no oficiales.

4) Lumma Stealer
Título sugerido del tema:
Lumma Stealer – Infostealer – 2022

Nombre:
Lumma Stealer (LummaC2, Lumma Stealer MaaS)
Categoría:
Infostealer (creds, cookies, wallets, datos del sistema)
Fecha de descubrimiento:
Alrededor de 2022
Comportamiento (lo que hace y archivos que infecta):

Ofrecido como Malware-as-a-Service (MaaS) en foros criminales.
Distribuido en campañas que abusan de cracks de software, malvertising y sitios falsos de descargas.
Roba credenciales, cookies, datos de autofill, wallets, información de apps de mensajería y datos del sistema.
Algunas campañas usan archivos LNK/PDF falsos u overlays de CAPTCHA para engañar al usuario y ejecutar scripts de PowerShell.

Persistencia:

Instalación del binario en rutas de usuario con nombres engañosos.
Verificaciones anti-VM y anti-sandbox para evadir análisis.
Registro de tareas programadas en algunos casos y uso de cifrado para su configuración.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Lumma Stealer):

Code:
2e59bd7db699a8a7063c44ad2da160316941bef24b18654eae8de5fc97cabb57

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Escanear ejecutables descargados desde páginas que ofrezcan licencias “gratis” de software de pago (Adobe, IDM, etc.).
- Activar inspección profunda sobre scripts (PowerShell, cmd) lanzados por instaladores recién descargados.
- Mantener actualizadas las firmas específicas de stealer modernos (Lumma, Meta, AMOS, etc.).
Firewall:
- Bloquear conexiones HTTP/HTTPS hacia infraestructura conocida de Lumma cuando sea posible (usando IOCs).
- En el incidente, restringir todo el tráfico saliente del host afectado excepto hacia el servidor de gestión y actualizaciones de seguridad.
HIPS/EDR:
- Crear reglas para detectar:
  - Ejecución de PowerShell con cadenas ofuscadas.
  - Acceso a múltiples perfiles de navegador en un corto intervalo de tiempo.
- Configurar acciones automáticas para suspender o matar procesos que cumplan ambos criterios (script + acceso masivo a datos).
Sandbox:
- Probar instaladores y cracks sospechosos en una Sandbox Windows antes de permitir que el usuario los use.
- Si la Sandbox muestra que el instalador lanza PowerShell con comandos descargados desde Internet, marcarlo como malware y bloquearlo.
Medidas posteriores al incidente:
- Cambiar credenciales y regenerar claves de API asociadas a las cuentas comprometidas.
- Revisar las máquinas donde se haya instalado software crackeado durante el período de actividad conocido de la campaña.
- Reforzar políticas que prohíban cracks incluyendo sanciones internas, si aplica.

]]> Nombre:
Meta Stealer (MetaStealer, META)
Categoría:
Infostealer (derivado de RedLine, robo de credenciales y wallets)
Fecha de descubrimiento:
Marzo de 2022
Comportamiento (lo que hace y archivos que infecta):

Diseñado como evolución de RedLine: mismo tipo de robo de información, con mejoras en cifrado y exfiltración.
Roba credenciales de navegadores, cookies, autofill, wallets de criptomonedas, extensiones de navegador y cuentas de Steam u otras aplicaciones.
En campañas recientes, se ha distribuido a través de:
- Malspam.
- Instaladores falsos de programas (por ejemplo AnyDesk u otros).
- Paquetes asociados a software crackeado y utilidades “gratis” para Windows.

Persistencia:

Uso de instaladores MSI que copian el payload en rutas de usuario (

Code:
%AppData%
,

Code:
%LocalAppData%
).
Creación de tareas programadas y claves de inicio automático en el registro.
Suele ofuscar cadenas y rutas a C2 para evadir firmas basadas en texto plano.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (MetaStealer):

Code:
dd4db8e858f1bfbdb7a384e16d5da0ee97537d281c7e6d20c4f323d5ebfbc9c7

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Analizar archivos MSI y ejecutables descargados desde páginas de “descargas gratuitas”, cracks o clones falsos de sitios legítimos.
- Configurar reglas de exclusión mínima: no excluir carpetas de descargas ni de proyectos donde los usuarios suelan ejecutar binarios desconocidos.
- Registrar y bloquear hashes detectados de Meta Stealer para evitar reinfecciones.
Firewall:
- Monitorizar conexiones salientes a dominios desconocidos relacionados con campañas de Meta (si se disponen de IOCs).
- Restringir que aplicaciones instaladas fuera de
  
  Code:
  Program Files
  establezcan conexiones directas al exterior sin supervisión.
HIPS/EDR:
- Detectar comportamientos de enumeración masiva de credenciales en navegadores y aplicaciones de escritorio.
- Configurar política de respuesta automática para:
  - Matar el proceso sospechoso.
  - Bloquear el hash.
  - Registrar el árbol de procesos completo para investigación (quién lanzó el crack, qué ejecutable lo inició, etc.).
Sandbox:
- Ejecutar en Sandbox todo instalador “gratuito” que prometa funciones premium de software de pago.
- Revisar si el binario contacta a dominios aleatorios y descarga payloads secundarios: si ocurre, marcar el crack como malicioso y no usarlo en producción.
Medidas posteriores al incidente:
- Rotar credenciales de cuentas comprometidas y revocar tokens de sesión.
- Revisar equipos vecinos en la red por posible movimiento lateral.
- Educar a usuarios sobre el riesgo específico de descargar “clientes modificados”, cracks o herramientas administrativas no oficiales.

4) Lumma Stealer
Título sugerido del tema:
Lumma Stealer – Infostealer – 2022

Ofrecido como Malware-as-a-Service (MaaS) en foros criminales.
Distribuido en campañas que abusan de cracks de software, malvertising y sitios falsos de descargas.
Roba credenciales, cookies, datos de autofill, wallets, información de apps de mensajería y datos del sistema.
Algunas campañas usan archivos LNK/PDF falsos u overlays de CAPTCHA para engañar al usuario y ejecutar scripts de PowerShell.

Persistencia:

Instalación del binario en rutas de usuario con nombres engañosos.
Verificaciones anti-VM y anti-sandbox para evadir análisis.
Registro de tareas programadas en algunos casos y uso de cifrado para su configuración.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (Lumma Stealer):

Code:
2e59bd7db699a8a7063c44ad2da160316941bef24b18654eae8de5fc97cabb57

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Escanear ejecutables descargados desde páginas que ofrezcan licencias “gratis” de software de pago (Adobe, IDM, etc.).
- Activar inspección profunda sobre scripts (PowerShell, cmd) lanzados por instaladores recién descargados.
- Mantener actualizadas las firmas específicas de stealer modernos (Lumma, Meta, AMOS, etc.).
Firewall:
- Bloquear conexiones HTTP/HTTPS hacia infraestructura conocida de Lumma cuando sea posible (usando IOCs).
- En el incidente, restringir todo el tráfico saliente del host afectado excepto hacia el servidor de gestión y actualizaciones de seguridad.
HIPS/EDR:
- Crear reglas para detectar:
  - Ejecución de PowerShell con cadenas ofuscadas.
  - Acceso a múltiples perfiles de navegador en un corto intervalo de tiempo.
- Configurar acciones automáticas para suspender o matar procesos que cumplan ambos criterios (script + acceso masivo a datos).
Sandbox:
- Probar instaladores y cracks sospechosos en una Sandbox Windows antes de permitir que el usuario los use.
- Si la Sandbox muestra que el instalador lanza PowerShell con comandos descargados desde Internet, marcarlo como malware y bloquearlo.
Medidas posteriores al incidente:
- Cambiar credenciales y regenerar claves de API asociadas a las cuentas comprometidas.
- Revisar las máquinas donde se haya instalado software crackeado durante el período de actividad conocido de la campaña.
- Reforzar políticas que prohíban cracks incluyendo sanciones internas, si aplica.

]]> <![CDATA[RedLine Stealer – Infostealer – 2020]]> https://forum.getoverx.com/showthread.php?tid=122 Fri, 05 Dec 2025 17:05:47 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=122 Nombre:
RedLine Stealer
Categoría:
Infostealer (credenciales, cookies, wallets, información del sistema)
Fecha de descubrimiento:
Aproximadamente 2020
Comportamiento (lo que hace y archivos que infecta):

Muy usado en campañas de cracks y software pirata, así como en kits de Pay-Per-Install (PPI).
Roba:
- Contraseñas almacenadas en navegadores, cookies y formularios.
- Datos de aplicaciones como FTP, VPN, mensajería y algunos clientes de juegos.
- Wallets de criptomonedas y extensiones.
Puede desplegar payloads adicionales (otros stealer, RAT o mineros) después de la infección.
A menudo se distribuye mediante instaladores falsos de software popular (Adobe, utilidades de sistema, “boosters” de juegos, etc.).

Persistencia:

Copia el binario en

Code:
AppData\Roaming
o

Code:
Local\Temp
con nombres que simulan software legítimo.
Modifica claves de inicio automático en el registro (

Code:
Run
) para reiniciarse con Windows.
Algunas variantes instalan certificados raíz falsos o consultan información de hardware para evadir análisis en VM.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (RedLine Stealer):

Code:
556664b3dbcf66d7d831837a8ef6aed3bbaecb80867cf88ed85ceeff2e28f744

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Ejecutar análisis completo con prioridad en carpetas de usuario y temporales.
- Activar análisis en tiempo real sobre descargas y descompresión de archivos
  
  Code:
  .zip
  ,
  
  Code:
  .rar
  ,
  
  Code:
  .7z
  que contengan cracks.
- Cuarentenar binarios que se ejecuten desde carpetas temporales o desde subcarpetas no estándar sin firma digital.
Firewall:
- Bloquear conexiones salientes sospechosas hacia IPs o dominios no categorizados cuando el proceso origen no está instalado en
  
  Code:
  Program Files
  .
- En entornos corporativos, crear reglas que bloqueen directamente tráfico de stealer conocidos si se disponen de IOCs actualizados.
HIPS/EDR:
- Monitorear y alertar cuando un proceso no firmado acceda masivamente a ficheros de credenciales, tokens o wallets.
- Habilitar políticas de “bloqueo por comportamiento” al detectar carga de DLLs de networking y criptografía por procesos situados en rutas de usuario.
- Si se detecta el patrón, matar el proceso y registrar hash, ruta y árbol de procesos (para posible bloqueo futuro).
Sandbox:
- Ejecutar cracks sospechosos en Sandbox observando si, poco después, se produce tráfico de exfiltración o acceso masivo a perfiles de navegador.
- No mover el ejecutable al entorno de producción si en Sandbox se observa enumeración de wallets o envío de datos a C2.
Medidas posteriores al incidente:
- Rotar contraseñas de todas las cuentas corporativas y personales usadas en el equipo.
- Revisar accesos recientes a paneles de hosting, banca online y plataformas de pago.
- Verificar que no se han instalado RAT adicionales aprovechando el acceso de RedLine.
- Revisar políticas internas para prohibir formalmente el uso de software crackeado o activado con KMSPICO.

]]> Nombre:
RedLine Stealer
Categoría:
Infostealer (credenciales, cookies, wallets, información del sistema)
Fecha de descubrimiento:
Aproximadamente 2020
Comportamiento (lo que hace y archivos que infecta):

Muy usado en campañas de cracks y software pirata, así como en kits de Pay-Per-Install (PPI).
Roba:
- Contraseñas almacenadas en navegadores, cookies y formularios.
- Datos de aplicaciones como FTP, VPN, mensajería y algunos clientes de juegos.
- Wallets de criptomonedas y extensiones.
Puede desplegar payloads adicionales (otros stealer, RAT o mineros) después de la infección.
A menudo se distribuye mediante instaladores falsos de software popular (Adobe, utilidades de sistema, “boosters” de juegos, etc.).

Persistencia:

Copia el binario en

Code:
AppData\Roaming
o

Code:
Local\Temp
con nombres que simulan software legítimo.
Modifica claves de inicio automático en el registro (

Code:
Run
) para reiniciarse con Windows.
Algunas variantes instalan certificados raíz falsos o consultan información de hardware para evadir análisis en VM.

Hash real de referencia (SHA-256):
Ejemplo de muestra pública (RedLine Stealer):

Code:
556664b3dbcf66d7d831837a8ef6aed3bbaecb80867cf88ed85ceeff2e28f744

Mitigación con GetOverX Shield v3.0.2.0 o superior:

Antivirus:
- Ejecutar análisis completo con prioridad en carpetas de usuario y temporales.
- Activar análisis en tiempo real sobre descargas y descompresión de archivos
  
  Code:
  .zip
  ,
  
  Code:
  .rar
  ,
  
  Code:
  .7z
  que contengan cracks.
- Cuarentenar binarios que se ejecuten desde carpetas temporales o desde subcarpetas no estándar sin firma digital.
Firewall:
- Bloquear conexiones salientes sospechosas hacia IPs o dominios no categorizados cuando el proceso origen no está instalado en
  
  Code:
  Program Files
  .
- En entornos corporativos, crear reglas que bloqueen directamente tráfico de stealer conocidos si se disponen de IOCs actualizados.
HIPS/EDR:
- Monitorear y alertar cuando un proceso no firmado acceda masivamente a ficheros de credenciales, tokens o wallets.
- Habilitar políticas de “bloqueo por comportamiento” al detectar carga de DLLs de networking y criptografía por procesos situados en rutas de usuario.
- Si se detecta el patrón, matar el proceso y registrar hash, ruta y árbol de procesos (para posible bloqueo futuro).
Sandbox:
- Ejecutar cracks sospechosos en Sandbox observando si, poco después, se produce tráfico de exfiltración o acceso masivo a perfiles de navegador.
- No mover el ejecutable al entorno de producción si en Sandbox se observa enumeración de wallets o envío de datos a C2.
Medidas posteriores al incidente:
- Rotar contraseñas de todas las cuentas corporativas y personales usadas en el equipo.
- Revisar accesos recientes a paneles de hosting, banca online y plataformas de pago.
- Verificar que no se han instalado RAT adicionales aprovechando el acceso de RedLine.
- Revisar políticas internas para prohibir formalmente el uso de software crackeado o activado con KMSPICO.

]]> <![CDATA[Mystic Stealer – Infostealer – 2024]]> https://forum.getoverx.com/showthread.php?tid=120 Fri, 05 Dec 2025 16:51:01 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=120 Nombre: Mystic Stealer
Categoría: Infostealer (robo de credenciales y datos)
Fecha de descubrimiento: 2024 (muestras activas desde inicios de año aprox.)
Comportamiento (lo que hace y archivos que infecta):

Suele llegar por campañas de phishing, descargas de software crackeado o malvertising (anuncios maliciosos).
Se centra en robar:
- Credenciales almacenadas en navegadores (usuario/contraseña, cookies, autofill).
- Información de clientes de correo, mensajería, FTP y VPN.
- Datos de wallets de criptomonedas y archivos específicos configurados por el atacante.
Recolecta también información del sistema (versión de OS, hardware, lista de procesos, programas instalados).
No cifra archivos: su objetivo es la exfiltración silenciosa de información. Los “archivos afectados” son principalmente perfiles de navegador, bases de datos de credenciales y ficheros de configuración de aplicaciones, junto a paquetes temporales con la información robada.

Persistencia:

Copia del binario en carpetas de usuario (por ejemplo

Code:
%APPDATA%
,

Code:
%LOCALAPPDATA%
) con nombres que imitan software legítimo.
Creación de claves de autoejecución en Registro (Run/RunOnce) o uso de accesos directos modificados.
En algunas variantes, ejecución “one-shot” (roba todo en una sesión y se borra) para reducir huella, mientras otras mantienen persistencia y robo continuo.

Hash real de referencia (SHA-256):

Code:
9bdb51905b1eac04722007ffcc4a86f1bd84b618ca2610580e01acd21b98cdcb

Mitigación con GetOverX Shield v3.0.2.0 o superior:
Describe los pasos recomendados usando los módulos de GetOverX Shield:

Antivirus:
Realizar escaneo completo centrado en perfiles de usuario y carpetas de descarga para detectar el binario de Mystic Stealer, sus droppers y archivos auxiliares.
Firewall:
- Bloquear conexiones salientes hacia dominios/IPs asociados a C2 de stealers.
- Aplicar reglas de salida restrictivas en puestos sensibles (equipo contable, administración, servidores) permitiendo solo destinos corporativos legítimos.
HIPS/EDR:
- Detectar accesos masivos a bases de datos de navegadores y archivos de wallets.
- Monitorizar proceso que empacan grandes cantidades de datos de usuario justo antes de iniciar conexiones salientes.
- Configurar respuesta automática para matar el proceso, bloquear el hash y registrar el incidente cuando se detecte este patrón de exfiltración.
Sandbox:
- Analizar en Sandbox ejecutables descargados desde sitios de cracks, keygens o descargas “gratuitas”.
- Probar adjuntos de correo sospechosos que intenten instalar agentes de robo de información antes de dejarlos ejecutar en el entorno real.
Medidas posteriores al incidente:
- Forzar cambio de todas las credenciales que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, wallets).
- Revisar actividad de cuentas financieras y de criptomonedas por transacciones no autorizadas.
- Revisar herramientas de administración remota y accesos a servicios corporativos para detectar uso indebido de credenciales robadas.

Suele llegar por campañas de phishing, descargas de software crackeado o malvertising (anuncios maliciosos).
Se centra en robar:
- Credenciales almacenadas en navegadores (usuario/contraseña, cookies, autofill).
- Información de clientes de correo, mensajería, FTP y VPN.
- Datos de wallets de criptomonedas y archivos específicos configurados por el atacante.
Recolecta también información del sistema (versión de OS, hardware, lista de procesos, programas instalados).
No cifra archivos: su objetivo es la exfiltración silenciosa de información. Los “archivos afectados” son principalmente perfiles de navegador, bases de datos de credenciales y ficheros de configuración de aplicaciones, junto a paquetes temporales con la información robada.

Persistencia:

Copia del binario en carpetas de usuario (por ejemplo

Code:
%APPDATA%
,

Code:
%LOCALAPPDATA%
) con nombres que imitan software legítimo.
Creación de claves de autoejecución en Registro (Run/RunOnce) o uso de accesos directos modificados.
En algunas variantes, ejecución “one-shot” (roba todo en una sesión y se borra) para reducir huella, mientras otras mantienen persistencia y robo continuo.

Hash real de referencia (SHA-256):

Code:
9bdb51905b1eac04722007ffcc4a86f1bd84b618ca2610580e01acd21b98cdcb

Mitigación con GetOverX Shield v3.0.2.0 o superior:
Describe los pasos recomendados usando los módulos de GetOverX Shield:

Antivirus:
Realizar escaneo completo centrado en perfiles de usuario y carpetas de descarga para detectar el binario de Mystic Stealer, sus droppers y archivos auxiliares.
Firewall:
- Bloquear conexiones salientes hacia dominios/IPs asociados a C2 de stealers.
- Aplicar reglas de salida restrictivas en puestos sensibles (equipo contable, administración, servidores) permitiendo solo destinos corporativos legítimos.
HIPS/EDR:
- Detectar accesos masivos a bases de datos de navegadores y archivos de wallets.
- Monitorizar proceso que empacan grandes cantidades de datos de usuario justo antes de iniciar conexiones salientes.
- Configurar respuesta automática para matar el proceso, bloquear el hash y registrar el incidente cuando se detecte este patrón de exfiltración.
Sandbox:
- Analizar en Sandbox ejecutables descargados desde sitios de cracks, keygens o descargas “gratuitas”.
- Probar adjuntos de correo sospechosos que intenten instalar agentes de robo de información antes de dejarlos ejecutar en el entorno real.
Medidas posteriores al incidente:
- Forzar cambio de todas las credenciales que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, wallets).
- Revisar actividad de cuentas financieras y de criptomonedas por transacciones no autorizadas.
- Revisar herramientas de administración remota y accesos a servicios corporativos para detectar uso indebido de credenciales robadas.

Principal Archivo Con Stealer: Kmspico, Kmaspico para Office 365, Kmspico para Windows 10 y 11 todas las ediciones, KmsPico para Windows Server 2016 a 2022, KmsPico para OneDrive.
Nombre del sosftware: KMSPico 10.2.0 incluye Mystic Stealer

-Se ha observado la distribución de Mystic Stealer empaquetado dentro de instaladores falsos de herramientas de activación como ‘KMSPico’, descargados desde sitios de cracks y descargas no oficiales.
No se trata de una versión oficial concreta del activador, sino de instaladores modificados por actores maliciosos cuyo nombre y número de versión pueden variar.]]> <![CDATA[StormKitty]]> https://forum.getoverx.com/showthread.php?tid=115 Fri, 05 Dec 2025 16:31:16 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=115 Nombre: StormKitty

Categoría: Infostealer + Keylogger + Clipper (C#)

Fecha de descubrimiento: Actividad documentada aproximadamente desde 2020; activo hasta la actualidad

Comportamiento (lo que hace y archivos que infecta):
StormKitty es un stealer escrito en C# que combina varias funciones:
- Robo de credenciales, cookies e historiales de navegadores.
- Keylogging (registro de pulsaciones).
- Stealer de wallets de criptomonedas.
- Clipper: reemplaza direcciones de criptomonedas en el portapapeles para redirigir pagos al atacante.
- Recolección de información del sistema (procesos, hardware, software instalado).

Distribución habitual:
- Empaquetado junto con otros malware (por ejemplo con RATs o loaders).
- Ejecutables disfrazados de herramientas legítimas o cracks.
- Campañas de phishing y descargas desde sitios dudosos.

Los archivos afectados incluyen:
- Bases de datos de navegadores y aplicaciones con credenciales.
- Archivos de configuración de wallets.
- Archivos temporales donde agrupa la data robada antes de enviarla al C2.

Persistencia:
StormKitty suele:
- Guardar su ejecutable en carpetas de usuario (ej. %APPDATA%).
- Crear entradas en el Registro para autoejecución (Run).
- En algunos casos, modificar accesos directos o utilizar scripts adicionales para mantenerse tras reinicios.
Puede operar de forma silenciosa, sin mostrar ventanas visibles, haciendo difícil para el usuario detectar su presencia.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como StormKitty:

Code:
0a3a0c19a18ad4ea4ab933ca094b21bbf2db42e2a602abc7d3d00d37b43c305d

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus:
Realizar un escaneo completo para localizar y eliminar el ejecutable StormKitty y cualquier empaquetador asociado.
Firewall:
Bloquear conexiones salientes hacia dominios/IPs asociados a paneles de control de stealers y revisar tráfico HTTP/HTTPS anómalo generado por procesos que no deberían tener acceso a Internet.
HIPS/EDR:
Activar reglas para detectar:
- Acceso masivo a bases de datos de navegadores/wallets.
- Uso de APIs de teclado (keylogging) y captura de pantalla.
- Manipulación del portapapeles con patrones de direcciones de criptomonedas.
Cuando se detecten estos comportamientos, matar el proceso y bloquear el binario.
Sandbox:
Analizar en Sandbox:
- Ejecutables desconocidos que se presenten como “herramientas de seguridad”, “cracks” o “optimizadores”.
Observar si inician comunicaciones con C2 y acceden a credenciales/local storage del navegador.
Medidas posteriores al incidente:
- Cambiar todas las contraseñas escritas durante el periodo de posible infección.
- Verificar wallets de criptomonedas por transacciones no autorizadas.
- Revisar accesos a correo, redes sociales y servicios críticos desde ubicaciones sospechosas.

]]> Nombre: StormKitty

Categoría: Infostealer + Keylogger + Clipper (C#)

Fecha de descubrimiento: Actividad documentada aproximadamente desde 2020; activo hasta la actualidad

Comportamiento (lo que hace y archivos que infecta):
StormKitty es un stealer escrito en C# que combina varias funciones:
- Robo de credenciales, cookies e historiales de navegadores.
- Keylogging (registro de pulsaciones).
- Stealer de wallets de criptomonedas.
- Clipper: reemplaza direcciones de criptomonedas en el portapapeles para redirigir pagos al atacante.
- Recolección de información del sistema (procesos, hardware, software instalado).

Distribución habitual:
- Empaquetado junto con otros malware (por ejemplo con RATs o loaders).
- Ejecutables disfrazados de herramientas legítimas o cracks.
- Campañas de phishing y descargas desde sitios dudosos.

Los archivos afectados incluyen:
- Bases de datos de navegadores y aplicaciones con credenciales.
- Archivos de configuración de wallets.
- Archivos temporales donde agrupa la data robada antes de enviarla al C2.

Persistencia:
StormKitty suele:
- Guardar su ejecutable en carpetas de usuario (ej. %APPDATA%).
- Crear entradas en el Registro para autoejecución (Run).
- En algunos casos, modificar accesos directos o utilizar scripts adicionales para mantenerse tras reinicios.
Puede operar de forma silenciosa, sin mostrar ventanas visibles, haciendo difícil para el usuario detectar su presencia.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como StormKitty:

Code:
0a3a0c19a18ad4ea4ab933ca094b21bbf2db42e2a602abc7d3d00d37b43c305d

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus:
Realizar un escaneo completo para localizar y eliminar el ejecutable StormKitty y cualquier empaquetador asociado.
Firewall:
Bloquear conexiones salientes hacia dominios/IPs asociados a paneles de control de stealers y revisar tráfico HTTP/HTTPS anómalo generado por procesos que no deberían tener acceso a Internet.
HIPS/EDR:
Activar reglas para detectar:
- Acceso masivo a bases de datos de navegadores/wallets.
- Uso de APIs de teclado (keylogging) y captura de pantalla.
- Manipulación del portapapeles con patrones de direcciones de criptomonedas.
Cuando se detecten estos comportamientos, matar el proceso y bloquear el binario.
Sandbox:
Analizar en Sandbox:
- Ejecutables desconocidos que se presenten como “herramientas de seguridad”, “cracks” o “optimizadores”.
Observar si inician comunicaciones con C2 y acceden a credenciales/local storage del navegador.
Medidas posteriores al incidente:
- Cambiar todas las contraseñas escritas durante el periodo de posible infección.
- Verificar wallets de criptomonedas por transacciones no autorizadas.
- Revisar accesos a correo, redes sociales y servicios críticos desde ubicaciones sospechosas.

]]> <![CDATA[Lumma Stealer / LummaC2]]> https://forum.getoverx.com/showthread.php?tid=114 Fri, 05 Dec 2025 16:30:00 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=114 Nombre: Lumma Stealer (también conocido como LummaC2)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: Observado en foros desde finales de 2022; gran expansión entre 2023–2025

Comportamiento (lo que hace y archivos que infecta):
Lumma Stealer / LummaC2 es un infostealer por suscripción (MaaS) especializado en robar información sensible de sistemas Windows. Sus capacidades incluyen:
- Robo de credenciales, cookies e historiales de navegadores.
- Robo de wallets de criptomonedas (archivos de monederos, extensiones de navegador, etc.).
- Robo de datos de aplicaciones como clientes FTP/VPN, mensajería y algunas herramientas de ofimática.
- Recolección de datos del sistema (versión de Windows, procesos, hardware) y posibilidad de instalar otros malware.

Vectores de distribución habituales:
- Descarga de “software gratuito” o crackeado desde páginas falsas o malvertising.
- Campañas de phishing con adjuntos maliciosos y enlaces que llevan a instaladores trojanizados.
- Abuso de scripts y PowerShell ofuscado para descargar y ejecutar el payload.

Los archivos afectados son principalmente:
- Bases de datos de credenciales de navegadores.
- Archivos de configuración de aplicaciones (VPN, FTP, etc.).
- Archivos temporales donde empaqueta la información robada antes de enviarla al C2.

Persistencia:
Lumma suele:
- Copiarse en rutas de usuario (ej. %APPDATA%) con nombres que parecen legítimos.
- Crear claves de autoejecución en el Registro (Run/RunOnce).
- Usar tareas programadas o scripts que relanzan el ejecutable al iniciar sesión.
En algunas campañas, el objetivo principal es “robar rápido y salir”, pero en otras se mantiene como agente persistente para exfiltrar datos de forma continua.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Lumma/LummaStealer:

Code:
e7a78fdf5808285ebcc98c2ac2831766a92560ee9674ddeb5e9f0d3f25da71cf

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
Ejecutar un escaneo completo para eliminar el binario de Lumma y sus droppers, incluyendo ejecutables descargados recientemente y scripts PowerShell sospechosos.
Firewall:
Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Lumma y en general restringir tráfico hacia dominios de baja reputación, especialmente justo después de la ejecución de nuevos programas.
HIPS/EDR:
Configurar reglas para detectar:
- Acceso masivo a almacenes de credenciales (navegadores, wallets, FTP/VPN).
- Creación de archivos comprimidos o paquetes en %TEMP% seguidos de conexiones HTTP/HTTPS hacia dominios desconocidos.
- Uso de PowerShell ofuscado que descarga y ejecuta binarios.
Al dispararse, matar el proceso, bloquear el hash y registrar el incidente.
Sandbox:
Enviar a Sandbox:
- Instaladores descargados fuera de webs oficiales.
- “Actualizaciones” o herramientas supuestamente relacionadas con IA, gaming o criptomonedas.
Observar si intentan exfiltrar datos o leer masivamente perfiles de navegador.
Medidas posteriores al incidente:
- Forzar cambio de todas las credenciales almacenadas en el equipo (correo, VPN, banca, paneles de hosting, wallets).
- Revisar movimientos de cuentas de criptomonedas y accesos sospechosos a servicios en línea.
- Verificar si se han instalado otras familias de malware a través de Lumma (cadena de infección).

]]> Nombre: Lumma Stealer (también conocido como LummaC2)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: Observado en foros desde finales de 2022; gran expansión entre 2023–2025

Comportamiento (lo que hace y archivos que infecta):
Lumma Stealer / LummaC2 es un infostealer por suscripción (MaaS) especializado en robar información sensible de sistemas Windows. Sus capacidades incluyen:
- Robo de credenciales, cookies e historiales de navegadores.
- Robo de wallets de criptomonedas (archivos de monederos, extensiones de navegador, etc.).
- Robo de datos de aplicaciones como clientes FTP/VPN, mensajería y algunas herramientas de ofimática.
- Recolección de datos del sistema (versión de Windows, procesos, hardware) y posibilidad de instalar otros malware.

Vectores de distribución habituales:
- Descarga de “software gratuito” o crackeado desde páginas falsas o malvertising.
- Campañas de phishing con adjuntos maliciosos y enlaces que llevan a instaladores trojanizados.
- Abuso de scripts y PowerShell ofuscado para descargar y ejecutar el payload.

Los archivos afectados son principalmente:
- Bases de datos de credenciales de navegadores.
- Archivos de configuración de aplicaciones (VPN, FTP, etc.).
- Archivos temporales donde empaqueta la información robada antes de enviarla al C2.

Persistencia:
Lumma suele:
- Copiarse en rutas de usuario (ej. %APPDATA%) con nombres que parecen legítimos.
- Crear claves de autoejecución en el Registro (Run/RunOnce).
- Usar tareas programadas o scripts que relanzan el ejecutable al iniciar sesión.
En algunas campañas, el objetivo principal es “robar rápido y salir”, pero en otras se mantiene como agente persistente para exfiltrar datos de forma continua.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Lumma/LummaStealer:

Code:
e7a78fdf5808285ebcc98c2ac2831766a92560ee9674ddeb5e9f0d3f25da71cf

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
Ejecutar un escaneo completo para eliminar el binario de Lumma y sus droppers, incluyendo ejecutables descargados recientemente y scripts PowerShell sospechosos.
Firewall:
Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Lumma y en general restringir tráfico hacia dominios de baja reputación, especialmente justo después de la ejecución de nuevos programas.
HIPS/EDR:
Configurar reglas para detectar:
- Acceso masivo a almacenes de credenciales (navegadores, wallets, FTP/VPN).
- Creación de archivos comprimidos o paquetes en %TEMP% seguidos de conexiones HTTP/HTTPS hacia dominios desconocidos.
- Uso de PowerShell ofuscado que descarga y ejecuta binarios.
Al dispararse, matar el proceso, bloquear el hash y registrar el incidente.
Sandbox:
Enviar a Sandbox:
- Instaladores descargados fuera de webs oficiales.
- “Actualizaciones” o herramientas supuestamente relacionadas con IA, gaming o criptomonedas.
Observar si intentan exfiltrar datos o leer masivamente perfiles de navegador.
Medidas posteriores al incidente:
- Forzar cambio de todas las credenciales almacenadas en el equipo (correo, VPN, banca, paneles de hosting, wallets).
- Revisar movimientos de cuentas de criptomonedas y accesos sospechosos a servicios en línea.
- Verificar si se han instalado otras familias de malware a través de Lumma (cadena de infección).

]]> <![CDATA[Raccoon Stealer (v1 / v2)]]> https://forum.getoverx.com/showthread.php?tid=113 Fri, 05 Dec 2025 16:28:04 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=113 Nombre: Raccoon Stealer (también conocido como Mohazo, Racealer, Raccoon v2)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: Reportado por primera vez en 2019; Raccoon Stealer v2 observado desde 2022

Comportamiento (lo que hace y archivos que infecta):
Raccoon Stealer es un ladrón de información disponible como servicio (MaaS). Sus capacidades incluyen:
- Robo de credenciales de navegadores (contraseñas, cookies, formularios).
- Robo de wallets de criptomonedas.
- Keylogging y recolección de información del sistema.
- Descarga de módulos y payloads adicionales.

Distribución:
- Campañas de phishing y malspam con adjuntos (documentos, ejecutables comprimidos).
- Malvertising y descargas de software crackeado.
- Uso de loaders que abusan de servicios cloud (por ejemplo, alojando payloads en servicios legítimos).

Archivos afectados:
- Perfiles de navegador y bases de datos de credenciales.
- Archivos de configuración de clientes FTP/VPN.
- Ficheros temporales donde empaqueta la información robada antes de enviarla al C2.

Persistencia:
Raccoon suele:
- Copiarse en directorios de usuario con nombres “limpios”.
- Registrar claves de autoejecución en el Registro.
- En algunas campañas, usar scripts con PowerShell y técnicas de process hollowing para inyectarse en procesos de sistema.

Hash real de referencia (SHA-256):
Muestra pública asociada a Raccoon Stealer:

Code:
b583d86c4abc6d6ca57bde802b7e9d8143a249aed6a560a4626e79ae13f6209d

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
Ejecutar un escaneo completo para detectar y eliminar el ejecutable de Raccoon y sus droppers. Prestar atención a binarios en %APPDATA%, %LOCALAPPDATA% y %TEMP%.
Firewall:
- Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Raccoon.
- Monitorizar y, si es posible, restringir el uso de servicios cloud para tráfico saliente no autorizado desde estaciones de trabajo.
HIPS/EDR:
Reglas recomendadas:
- Detección de acceso masivo a bases de datos de credenciales de navegadores y wallets.
- Detección de creación de archivos ZIP/RAR en carpetas temporales justo antes de conexiones salientes.
- Detección de keylogging y uso de PowerShell para descargar y ejecutar binarios.
Configurar respuesta automática para matar el proceso, bloquear el hash e informar al panel central.
Sandbox:
Analizar:
- Ejecutables descargados de sitios de cracks/keygens.
- Adjuntos de correo sospechosos asociados a campañas recientes.
Observar si intentan robar información y comunicarse con paneles Raccoon.
Medidas posteriores al incidente:
- Forzar cambio de todas las contraseñas usadas en ese equipo (correo, VPN, banca, paneles de hosting, criptomonedas).
- Verificar actividad inusual en cuentas de criptomonedas y servicios financieros.
- Revisar si se descargaron otros malware desde el mismo loader (posible cadena con otros stealers o ransomware).

]]> Nombre: Raccoon Stealer (también conocido como Mohazo, Racealer, Raccoon v2)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: Reportado por primera vez en 2019; Raccoon Stealer v2 observado desde 2022

Comportamiento (lo que hace y archivos que infecta):
Raccoon Stealer es un ladrón de información disponible como servicio (MaaS). Sus capacidades incluyen:
- Robo de credenciales de navegadores (contraseñas, cookies, formularios).
- Robo de wallets de criptomonedas.
- Keylogging y recolección de información del sistema.
- Descarga de módulos y payloads adicionales.

Distribución:
- Campañas de phishing y malspam con adjuntos (documentos, ejecutables comprimidos).
- Malvertising y descargas de software crackeado.
- Uso de loaders que abusan de servicios cloud (por ejemplo, alojando payloads en servicios legítimos).

Archivos afectados:
- Perfiles de navegador y bases de datos de credenciales.
- Archivos de configuración de clientes FTP/VPN.
- Ficheros temporales donde empaqueta la información robada antes de enviarla al C2.

Persistencia:
Raccoon suele:
- Copiarse en directorios de usuario con nombres “limpios”.
- Registrar claves de autoejecución en el Registro.
- En algunas campañas, usar scripts con PowerShell y técnicas de process hollowing para inyectarse en procesos de sistema.

Hash real de referencia (SHA-256):
Muestra pública asociada a Raccoon Stealer:

Code:
b583d86c4abc6d6ca57bde802b7e9d8143a249aed6a560a4626e79ae13f6209d

Mitigación con GetOverX Shield v3.0.2.0:

Antivirus:
Ejecutar un escaneo completo para detectar y eliminar el ejecutable de Raccoon y sus droppers. Prestar atención a binarios en %APPDATA%, %LOCALAPPDATA% y %TEMP%.
Firewall:
- Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Raccoon.
- Monitorizar y, si es posible, restringir el uso de servicios cloud para tráfico saliente no autorizado desde estaciones de trabajo.
HIPS/EDR:
Reglas recomendadas:
- Detección de acceso masivo a bases de datos de credenciales de navegadores y wallets.
- Detección de creación de archivos ZIP/RAR en carpetas temporales justo antes de conexiones salientes.
- Detección de keylogging y uso de PowerShell para descargar y ejecutar binarios.
Configurar respuesta automática para matar el proceso, bloquear el hash e informar al panel central.
Sandbox:
Analizar:
- Ejecutables descargados de sitios de cracks/keygens.
- Adjuntos de correo sospechosos asociados a campañas recientes.
Observar si intentan robar información y comunicarse con paneles Raccoon.
Medidas posteriores al incidente:
- Forzar cambio de todas las contraseñas usadas en ese equipo (correo, VPN, banca, paneles de hosting, criptomonedas).
- Verificar actividad inusual en cuentas de criptomonedas y servicios financieros.
- Revisar si se descargaron otros malware desde el mismo loader (posible cadena con otros stealers o ransomware).

]]> <![CDATA[FormBook / XLoader]]> https://forum.getoverx.com/showthread.php?tid=111 Fri, 05 Dec 2025 16:25:54 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=111 Nombre: FormBook (posteriormente rebautizado como XLoader en algunas campañas)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: 2016 (como FormBook); rebautizado como XLoader en 2020

Comportamiento (lo que hace y archivos que infecta):
FormBook es un infostealer para Windows que se vende como servicio (MaaS). Está diseñado para:
- Robar información de navegadores (historial, contraseñas, cookies, formularios).
- Extraer credenciales de clientes de correo, FTP y mensajería.
- Registrar pulsaciones de teclado (keylogging).
- Ejecutar comandos remotos y descargar payloads adicionales.

Se distribuye principalmente a través de:
- Campañas de phishing con documentos de Office maliciosos (aprovechando vulnerabilidades como CVE-2017-11882 y CVE-2017-0199).
- Archivos HTA, scripts y ejecutables empaquetados en adjuntos.

Los “archivos infectados” son principalmente:
- Bases de datos y ficheros de configuración de navegadores y aplicaciones (donde se almacenan credenciales).
- Archivos temporales donde se empaqueta la información robada antes de enviarla al C2.

Persistencia:
FormBook suele:
- Copiarse en carpetas de perfil de usuario.
- Crear claves de inicio automático en el Registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
- Modificar accesos directos o usar scripts adicionales para ejecutarse al inicio.
Algunas variantes se enfocan en robo “rápido” (robar y salir), mientras otras se quedan como agente persistente para exfiltrar datos periódicamente.

Hash real de referencia (SHA-256):
Muestra pública asociada a FormBook:

Code:
9001567e2025f83c936b8746fd3b01e44572f70d8ddec39b75b9459f7e5089c8

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus:
Lanzar un escaneo completo para eliminar el ejecutable de FormBook/XLoader, sus droppers y cualquier archivo auxiliar (HTA, scripts, EXE) usado en la cadena de infección.
Firewall:
Bloquear comunicaciones con los dominios/IPs C2 asociados a FormBook, así como tráfico HTTP/HTTPS hacia dominios de baja reputación desde el host afectado. Aislar temporalmente el equipo si se sospecha exfiltración masiva.
HIPS/EDR:
Configurar reglas para detectar:
- Acceso masivo a bases de datos de navegadores y clientes de correo.
- Creación de archivos comprimidos/paquetes en %TEMP% con datos de usuario.
- Keylogging y captura de formularios.
Cuando se detecte este comportamiento, matar el proceso, bloquear el binario y registrar el evento.
Sandbox:
Analizar en Sandbox:
- Documentos de Office recibidos por correo que pidan habilitar macros o contenido activo.
- Adjuntos con exploits conocidos (por ejemplo, plantillas que exploten CVE-2017-11882/0199).
Observar si intentan descargar y ejecutar un payload como FormBook.
Medidas posteriores al incidente:
- Cambiar todas las credenciales almacenadas en el navegador y aplicaciones (correo, FTP, VPN, banca).
- Activar MFA donde sea posible.
- Revisar actividad de cuentas sensibles durante el periodo de infección.

]]> Nombre: FormBook (posteriormente rebautizado como XLoader en algunas campañas)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: 2016 (como FormBook); rebautizado como XLoader en 2020

Comportamiento (lo que hace y archivos que infecta):
FormBook es un infostealer para Windows que se vende como servicio (MaaS). Está diseñado para:
- Robar información de navegadores (historial, contraseñas, cookies, formularios).
- Extraer credenciales de clientes de correo, FTP y mensajería.
- Registrar pulsaciones de teclado (keylogging).
- Ejecutar comandos remotos y descargar payloads adicionales.

Se distribuye principalmente a través de:
- Campañas de phishing con documentos de Office maliciosos (aprovechando vulnerabilidades como CVE-2017-11882 y CVE-2017-0199).
- Archivos HTA, scripts y ejecutables empaquetados en adjuntos.

Los “archivos infectados” son principalmente:
- Bases de datos y ficheros de configuración de navegadores y aplicaciones (donde se almacenan credenciales).
- Archivos temporales donde se empaqueta la información robada antes de enviarla al C2.

Persistencia:
FormBook suele:
- Copiarse en carpetas de perfil de usuario.
- Crear claves de inicio automático en el Registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
- Modificar accesos directos o usar scripts adicionales para ejecutarse al inicio.
Algunas variantes se enfocan en robo “rápido” (robar y salir), mientras otras se quedan como agente persistente para exfiltrar datos periódicamente.

Hash real de referencia (SHA-256):
Muestra pública asociada a FormBook:

Code:
9001567e2025f83c936b8746fd3b01e44572f70d8ddec39b75b9459f7e5089c8

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus:
Lanzar un escaneo completo para eliminar el ejecutable de FormBook/XLoader, sus droppers y cualquier archivo auxiliar (HTA, scripts, EXE) usado en la cadena de infección.
Firewall:
Bloquear comunicaciones con los dominios/IPs C2 asociados a FormBook, así como tráfico HTTP/HTTPS hacia dominios de baja reputación desde el host afectado. Aislar temporalmente el equipo si se sospecha exfiltración masiva.
HIPS/EDR:
Configurar reglas para detectar:
- Acceso masivo a bases de datos de navegadores y clientes de correo.
- Creación de archivos comprimidos/paquetes en %TEMP% con datos de usuario.
- Keylogging y captura de formularios.
Cuando se detecte este comportamiento, matar el proceso, bloquear el binario y registrar el evento.
Sandbox:
Analizar en Sandbox:
- Documentos de Office recibidos por correo que pidan habilitar macros o contenido activo.
- Adjuntos con exploits conocidos (por ejemplo, plantillas que exploten CVE-2017-11882/0199).
Observar si intentan descargar y ejecutar un payload como FormBook.
Medidas posteriores al incidente:
- Cambiar todas las credenciales almacenadas en el navegador y aplicaciones (correo, FTP, VPN, banca).
- Activar MFA donde sea posible.
- Revisar actividad de cuentas sensibles durante el periodo de infección.

]]> <![CDATA[Agent Tesla]]> https://forum.getoverx.com/showthread.php?tid=109 Fri, 05 Dec 2025 16:18:30 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=109 Nombre: Agent Tesla
Categoría: RAT (Remote Access Trojan) + Infostealer / Keylogger
Fecha de descubrimiento: Activo al menos desde 2014

Comportamiento (lo que hace y archivos que infecta):
Agent Tesla es un RAT escrito en .NET con capacidades de robo de información: keylogging, captura de pantalla, robo de credenciales desde navegadores, clientes de correo, VPN, FTP, etc. Se vende como Malware-as-a-Service y se distribuye principalmente mediante campañas de phishing (adjuntos de Office, XLL maliciosos, PDFs, etc.). Una vez instalado, envía la información robada al C2 usando HTTP, SMTP, FTP o incluso Telegram, según la configuración del atacante.

Los “archivos infectados” suelen ser configuraciones y bases de datos de aplicaciones desde las que extrae credenciales; también deja sus propios binarios en rutas de usuario o sistema y archivos de script que ayudan a la ejecución inicial.
Persistencia:
Usa principalmente dos técnicas: copiarse en la carpeta de inicio del usuario y/o crear claves de Registro (Run) para ejecutarse en cada arranque. Algunas variantes también emplean scripts adicionales, empaquetadores y ofuscación para dificultar la detección y análisis.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como AgentTesla:

Code:
623d707cab5c5dc378a5100018e29f88949f4ea4be4b34cc2fc36e1612b68100

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus: Escanear completamente el sistema y eliminar el binario de Agent Tesla y cualquier instalador/dropper ofuscado.

HIPS/EDR: Crear reglas para detectar: – procesos que leen de forma anómala almacenamientos de credenciales, – captura frecuente de pantallas, – keylogging (API de teclado) y envío masivo de datos a dominios desconocidos. Configurar respuesta automática para matar el proceso, bloquear el binario y registrar el incidente.

Firewall: Restringir tráfico saliente SMTP/FTP desde estaciones de trabajo normales y monitorear conexiones HTTP/HTTPS hacia dominios poco reputados usados como C2.
Remediación de credenciales: Cambiar todas las credenciales que se hayan introducido mientras el malware estuvo activo (incluyendo correo corporativo, VPN, paneles administrativos y banca en línea).

Sandbox: Enviar para análisis previo en Sandbox cualquier adjunto de correo sospechoso (especialmente documentos de Office o XLL) proveniente de remitentes desconocidos.]]> Nombre: Agent Tesla
Categoría: RAT (Remote Access Trojan) + Infostealer / Keylogger
Fecha de descubrimiento: Activo al menos desde 2014

Comportamiento (lo que hace y archivos que infecta):
Agent Tesla es un RAT escrito en .NET con capacidades de robo de información: keylogging, captura de pantalla, robo de credenciales desde navegadores, clientes de correo, VPN, FTP, etc. Se vende como Malware-as-a-Service y se distribuye principalmente mediante campañas de phishing (adjuntos de Office, XLL maliciosos, PDFs, etc.). Una vez instalado, envía la información robada al C2 usando HTTP, SMTP, FTP o incluso Telegram, según la configuración del atacante.

Los “archivos infectados” suelen ser configuraciones y bases de datos de aplicaciones desde las que extrae credenciales; también deja sus propios binarios en rutas de usuario o sistema y archivos de script que ayudan a la ejecución inicial.
Persistencia:
Usa principalmente dos técnicas: copiarse en la carpeta de inicio del usuario y/o crear claves de Registro (Run) para ejecutarse en cada arranque. Algunas variantes también emplean scripts adicionales, empaquetadores y ofuscación para dificultar la detección y análisis.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como AgentTesla:

Code:
623d707cab5c5dc378a5100018e29f88949f4ea4be4b34cc2fc36e1612b68100

Mitigación con GetOverX Shield v3.0.2.0 o Superior:

Antivirus: Escanear completamente el sistema y eliminar el binario de Agent Tesla y cualquier instalador/dropper ofuscado.

HIPS/EDR: Crear reglas para detectar: – procesos que leen de forma anómala almacenamientos de credenciales, – captura frecuente de pantallas, – keylogging (API de teclado) y envío masivo de datos a dominios desconocidos. Configurar respuesta automática para matar el proceso, bloquear el binario y registrar el incidente.

Firewall: Restringir tráfico saliente SMTP/FTP desde estaciones de trabajo normales y monitorear conexiones HTTP/HTTPS hacia dominios poco reputados usados como C2.
Remediación de credenciales: Cambiar todas las credenciales que se hayan introducido mientras el malware estuvo activo (incluyendo correo corporativo, VPN, paneles administrativos y banca en línea).

Sandbox: Enviar para análisis previo en Sandbox cualquier adjunto de correo sospechoso (especialmente documentos de Office o XLL) proveniente de remitentes desconocidos.]]> <![CDATA[RedLine Stealer]]> https://forum.getoverx.com/showthread.php?tid=105 Fri, 05 Dec 2025 16:04:33 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=105 Nombre: RedLine Stealer
Categoría: Infostealer (robo de credenciales y datos)
Fecha de descubrimiento: Alrededor de febrero 2020

Comportamiento (lo que hace y archivos que infecta):
RedLine es un malware tipo “stealer” vendido como servicio (MaaS). Su principal objetivo es robar credenciales y datos del equipo: contraseñas guardadas en navegadores, cookies, formularios de autocompletado, wallets de criptomonedas, información de clientes FTP/VPN, y datos de sistema (procesos, programas instalados, idioma, IP, etc.). No se dedica a cifrar documentos, sino a extraer información y exfiltrarla al servidor de comando y control (C2). Puede llegar al sistema vía phishing, descargadores maliciosos y software crackeado.

Los “archivos que infecta” suelen ser principalmente configuraciones y bases de datos de aplicaciones (perfiles de navegadores, clientes FTP/VPN, wallets, etc.), desde donde extrae credenciales; también puede depositar ficheros temporales en carpetas de usuario para empaquetar la información robada.
Persistencia:
Se han observado técnicas como copiarse en carpetas de perfil de usuario y añadir entradas de inicio automático en Registro o carpetas de “Startup”, además de tareas programadas. Algunas variantes se ejecutan una sola vez, roban todo y se borran para reducir huella.

Hash real de referencia (SHA-256):
Muestra pública analizada de RedLine Stealer:

Code:
E3544F1A9707EC1CE083AFE0AE64F2EDE38A7D53FC6F98AAB917CA049BC63E69

Mitigación con GetOverX Shield v3.0.2.0:

[] Antivirus: Ejecutar un escaneo completo para localizar el binario del stealer y cualquier dropper asociado, eliminándolos del sistema. [] HIPS/EDR: Habilitar reglas que detecten accesos masivos a almacenes de credenciales de navegadores, wallets y clientes FTP/VPN, así como conexiones HTTP/HTTPS inusuales hacia dominios desconocidos. Configurar respuestas automáticas para detener el proceso. [] Firewall: Bloquear conexiones salientes no autorizadas, especialmente hacia dominios o IPs reputacionalmente sospechosos, reduciendo la exfiltración. [] Remediación de credenciales: Tras limpiar el sistema, forzar cambio de todas las contraseñas que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, etc.), activando MFA donde sea posible.
Sandbox: Analizar adjuntos y descargables sospechosos en la Sandbox antes de ejecutarlos, especialmente si provienen de campañas de phishing o crack de software.

]]> Nombre: RedLine Stealer
Categoría: Infostealer (robo de credenciales y datos)
Fecha de descubrimiento: Alrededor de febrero 2020

Comportamiento (lo que hace y archivos que infecta):
RedLine es un malware tipo “stealer” vendido como servicio (MaaS). Su principal objetivo es robar credenciales y datos del equipo: contraseñas guardadas en navegadores, cookies, formularios de autocompletado, wallets de criptomonedas, información de clientes FTP/VPN, y datos de sistema (procesos, programas instalados, idioma, IP, etc.). No se dedica a cifrar documentos, sino a extraer información y exfiltrarla al servidor de comando y control (C2). Puede llegar al sistema vía phishing, descargadores maliciosos y software crackeado.

Los “archivos que infecta” suelen ser principalmente configuraciones y bases de datos de aplicaciones (perfiles de navegadores, clientes FTP/VPN, wallets, etc.), desde donde extrae credenciales; también puede depositar ficheros temporales en carpetas de usuario para empaquetar la información robada.
Persistencia:
Se han observado técnicas como copiarse en carpetas de perfil de usuario y añadir entradas de inicio automático en Registro o carpetas de “Startup”, además de tareas programadas. Algunas variantes se ejecutan una sola vez, roban todo y se borran para reducir huella.

Hash real de referencia (SHA-256):
Muestra pública analizada de RedLine Stealer:

Code:
E3544F1A9707EC1CE083AFE0AE64F2EDE38A7D53FC6F98AAB917CA049BC63E69

Mitigación con GetOverX Shield v3.0.2.0:

[] Antivirus: Ejecutar un escaneo completo para localizar el binario del stealer y cualquier dropper asociado, eliminándolos del sistema. [] HIPS/EDR: Habilitar reglas que detecten accesos masivos a almacenes de credenciales de navegadores, wallets y clientes FTP/VPN, así como conexiones HTTP/HTTPS inusuales hacia dominios desconocidos. Configurar respuestas automáticas para detener el proceso. [] Firewall: Bloquear conexiones salientes no autorizadas, especialmente hacia dominios o IPs reputacionalmente sospechosos, reduciendo la exfiltración. [] Remediación de credenciales: Tras limpiar el sistema, forzar cambio de todas las contraseñas que pudieran estar almacenadas en el equipo (correo, redes sociales, banca, VPN, paneles de hosting, etc.), activando MFA donde sea posible.
Sandbox: Analizar adjuntos y descargables sospechosos en la Sandbox antes de ejecutarlos, especialmente si provienen de campañas de phishing o crack de software.

]]>