Los investigadores de ciberseguridad han identificado un nuevo malware de robo de información llamado “PupkinStealer”.
Este malware basado en .NET, observado por primera vez en abril de 2025, está escrito en C#, se centra en robar credenciales del navegador, sesiones de aplicaciones de mensajería, archivos de escritorio y excluye datos a través de la API BOT de Telegram.
Los expertos en seguridad han señalado que la simplicidad de PupkinStealer y el uso de plataformas legítimas para las operaciones de comando y control se han convertido en una amenaza notable, especialmente debido a la falta de capacidades antianalíticas sofisticadas que desencadenan soluciones de seguridad.
PupkinStealer funciona como un archivo ejecutable ligero de 32 bits con un tamaño de archivo de solo 6.21 MB, desarrollado utilizando .NET Framework y C#. A pesar de su huella relativamente pequeña, el malware muestra capacidades críticas de recolección de datos.
Pupkinstealer ataca los sistemas de Windows
Los investigadores de seguridad determinaron que PupkinStealer está dirigido a una cierta gama de información confidencial, incluidas contraseñas almacenadas y cookies de navegadores web, datos de sesión de plataformas de mensajería como Telegram y Discord, y seleccionar archivos de escritorio con extensiones específicas.
Cuando se ejecuta, el malware crea un archivo zip comprimido que contiene todos los datos robados, con metadatos de víctimas mejorados que incluyen nombre de usuario, dirección IP pública e identificador de seguridad de Windows.
El diseño de malware utiliza la biblioteca Costura para incrustar DLL comprimidos para priorizar la compatibilidad en los entornos X86 y X64.
A diferencia de las cepas de malware más sofisticadas que emplean una amplia gama de técnicas de evasión, PupkinStealer se basa en un método de ejecución simple y una falta de mecanismos persistentes, lo que sugiere un enfoque de “golpear y correr” diseñado para minimizar la detección durante sus cortas ventanas de funcionamiento.
El malware captura las capturas de pantalla de 1920×1080 JPG del escritorio de la víctima y agrega información contextual al atacante sobre el sistema comprometido.
El diseño de PupkinStealer muestra que fue creado para actores de amenaza insensible. Esto se distribuye potencialmente a través del malware como modelos de servicio (MAAS) que permiten una monetización rápida a través del robo de calificación y la reventa de datos.
El uso de la API BOT de Telegram para el comando, el control y la eliminación de datos representa una tendencia creciente entre los ciberdelincuentes que aprovechan las plataformas legítimas para fusionar el tráfico malicioso con comunicaciones normales.
Según los investigadores de seguridad, el malware que utiliza el telegrama como canal C2 generalmente emplea la API BOT de Telegram para la comunicación, lo que permite a los atacantes mantener el control mientras oculta la actividad dentro de los patrones de tráfico legítimos.
Los investigadores han identificado un defecto grave en la API BOT de Telegram que explota PupkinStealer. Todos los mensajes de BOT pasados pueden ser jugados por enemigos que pueden interceptar y descifrar el tráfico HTTPS.
A diferencia de los mensajes de telegrama normales que utilizan el cifrado de la plataforma MtProto, las comunicaciones de la API de BOT están protegidas solo por la capa HTTPS, creando vulnerabilidades de seguridad.
Los datos robados fueron robados enviando los archivos robados al bot de telegrama a través de una URL de API diseñada.
Este enfoque permite a los atacantes evitar las soluciones tradicionales de monitoreo de redes al esconderse en plataformas de mensajería populares dentro del tráfico.
Desarrollador “ardiente” con el potencial de conexión rusa
Los investigadores de ciberseguridad atribuyen PupkinStealer a un desarrollador conocido como “ardent” basado en la cadena de código integrado que se encuentra durante el análisis.
La presencia de texto ruso en metadatos de bot de telegrama que contiene el término “kanar” (ruso para “canal”) sugiere posibles orígenes rusos, pero no se ha confirmado una orientación geográfica concluyente.
Esta información de atribución se produce en medio de crecientes preocupaciones sobre el ransomware y las campañas para robar información de los grupos de delitos cibernéticos de Europa del Este.
La aparición de PupkinStealer destaca el panorama de amenazas en evolución, donde los autores de malware se centran cada vez más en la simplicidad y el abuso legítimo de la plataforma en lugar de las características técnicas sofisticadas.
Se centra en los datos relacionados con el comercio electrónico, como las credenciales del navegador y las sesiones de plataformas financieras, plantea un gran riesgo para los minoristas en línea y sus clientes.
Los expertos en seguridad recomiendan que las organizaciones implementen la autenticación multifactorial, auditen regularmente el acceso de aplicaciones de terceros a las plataformas de mensajería y mantengan una protección de punto final robusta para proteger contra esta amenaza emergente.
Como muestra PupkinStealer, el malware moderno ya no requiere un código complicado para robar información confidencial de manera efectiva. El enfoque más simple a veces puede ser el más difícil.
Itemdetailsmalware samplePupkinSealersamphamphash9309003c245f94ba4ee52098Dadbaa0d0a4d83b423d76c1bfc082a1c29e0b95fsearch $ polyswarm link list -f puskinsteler
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
