Nueva versión de StealC V2: Expansión en el robo de datos mediante paquetes MSI y scripts PowerShell
Introducción a StealC V2
StealC, un conocido malware del tipo “info-stealer” activo desde enero de 2023, ha experimentado una importante actualización con su versión 2 (V2), lanzada en marzo de 2025. Esta nueva iteración amplía sus capacidades maliciosas para incluir el robo de información a través de paquetes de instalación de Microsoft (MSI) y scripts PowerShell, lo que representa un riesgo significativo para empresas y usuarios individuales.
Características técnicas de StealC V2
La versión 2 de StealC introduce varias mejoras técnicas que aumentan su eficacia como herramienta de robo de información:
- Compatibilidad con paquetes MSI: Ahora puede infiltrarse en sistemas mediante paquetes de instalación de Microsoft, aprovechando la confianza que los usuarios depositan en este formato.
- Ejecución de scripts PowerShell: Utiliza scripts maliciosos de PowerShell para evadir detección y realizar acciones avanzadas en sistemas comprometidos.
- Módulo de persistencia mejorado: Implementa técnicas más sofisticadas para mantenerse activo en sistemas infectados.
- Recolección de datos ampliada: Además de credenciales y cookies, ahora puede extraer información específica de aplicaciones empresariales.
Métodos de propagación y ataque
StealC V2 emplea múltiples vectores de infección:
- Distribución de paquetes MSI falsificados que parecen software legítimo
- Correos electrónicos de phishing con archivos adjuntos maliciosos
- Explotación de vulnerabilidades conocidas en aplicaciones populares
- Uso de scripts PowerShell ofuscados para evitar la detección
Implicaciones para la seguridad
La aparición de StealC V2 plantea importantes desafíos para los profesionales de seguridad:
- Detección más difícil: El uso de formatos legítimos como MSI y PowerShell dificulta la identificación por parte de soluciones de seguridad tradicionales.
- Mayor alcance: Al atacar paquetes de instalación, puede comprometer sistemas durante procesos de despliegue de software.
- Robo de información empresarial: Su capacidad para recolectar datos de aplicaciones corporativas lo hace especialmente peligroso para organizaciones.
Medidas de protección recomendadas
Para mitigar el riesgo de infección por StealC V2, se recomienda:
- Implementar políticas de ejecución restrictivas para PowerShell
- Verificar la autenticidad de todos los paquetes MSI antes de la instalación
- Actualizar regularmente el software y sistemas operativos
- Utilizar soluciones EDR (Endpoint Detection and Response) con capacidades de análisis de comportamiento
- Educar a los usuarios sobre los riesgos de descargar software de fuentes no confiables
Conclusión
StealC V2 representa una evolución significativa en la amenaza de los info-stealers, combinando técnicas avanzadas de evasión con nuevos vectores de ataque. Su capacidad para aprovechar herramientas legítimas del sistema como PowerShell y formatos de instalación confiables como MSI lo convierte en una amenaza particularmente peligrosa. Las organizaciones deben adoptar un enfoque de defensa en profundidad para protegerse contra esta y otras amenazas similares.
