Una nueva campaña de malware anda suelta, y esta vez trae consigo a eddiestealer, un ladrón de información bastante avanzado escrito en Rust. Lo preocupante es que está aprovechando una vieja táctica de ingeniería social que vuelve con fuerza: ClickFix, esta vez disfrazada en páginas falsas de verificación CAPTCHA.
Según explicó Jia Yu Chan, investigador de Elastic Security Labs, el ataque comienza cuando el usuario se encuentra con una página que parece legítima y le pide completar un CAPTCHA. Pero en lugar de protegerte, esa página te convence de ejecutar un comando malicioso en PowerShell. ¿El resultado? Tu información personal (contraseñas, datos del navegador e incluso detalles de tus billeteras de criptomonedas) termina en manos equivocadas.
¿Y cómo lo hacen? Primero, los atacantes comprometen sitios web legítimos y les inyectan JavaScript malicioso. Ese código carga una página falsa con CAPTCHA donde te piden "demostrar que no eres un robot" siguiendo tres simples pasos. Ahí es donde entra en juego ClickFix: te piden abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando (que ya está copiado automáticamente) y presionar Enter.
Ese comando lanza un script de PowerShell oculto que descarga una segunda carga útil desde un servidor remoto (como “llll[.]fit”). Ese archivo, gverify.js, se guarda en tu carpeta de Descargas y se ejecuta en segundo plano usando cscript.
El propósito de ese script es descargar y ejecutar al verdadero protagonista del ataque: eddiestealer. El archivo se guarda con un nombre aleatorio y también se ejecuta de forma silenciosa.
¿Y qué hace eddiestealer exactamente? Bastante. Este malware es capaz de recolectar metadatos del sistema, comunicarse con un servidor de comando y control (C2) y robar información valiosa: datos de navegadores, billeteras de criptomonedas, gestores de contraseñas, clientes FTP y aplicaciones de mensajería. Lo peor es que estos objetivos pueden cambiar fácilmente dependiendo de las órdenes que reciba desde el servidor del atacante.
Elastic detalló que eddiestealer accede a los archivos que quiere usando funciones comunes del sistema operativo Windows, como CreateFileW, GetFileSizeEx, ReadFile y CloseHandle, todo a través de la librería kernel32.dll. Y lo hace de manera tan discreta que puede pasar desapercibido fácilmente.
Podría interesarte leer: Análisis de Malware con Wazuh
¿Cómo funciona eddiestealer? Técnicas avanzadas para robar sin ser visto
Una vez que eddiestealer recolecta la información de tu equipo, la cifra y la envía al servidor del atacante (el famoso C2) usando una solicitud HTTP POST por cada tarea que completa. Todo bien organizado y sin dejar rastros fáciles de seguir.
Pero eso no es todo. Este malware viene cargado de trucos. Para empezar, usa su propio sistema para buscar y ejecutar funciones de Windows (WinAPI), en lugar de hacerlo de la manera habitual. ¿Por qué? Para hacer más difícil que lo detecten. También crea un “mutex”, que es básicamente un candado digital que evita que se ejecuten varias copias del malware al mismo tiempo en el mismo sistema.
Y si se da cuenta de que está corriendo en un entorno de prueba o aislamiento (como una máquina virtual de análisis), simplemente se borra del disco y desaparece sin dejar rastro. Nada mal para un software malicioso, ¿no?
Se notó que este comportamiento se parece mucho al de otro malware llamado Latrodectus, ya que eddiestealer también puede eliminarse a sí mismo de forma creativa. ¿Cómo lo hace? Cambiando el nombre de ciertos componentes del sistema de archivos de Windows (específicamente, los flujos alternativos de datos NTFS), lo que le permite evitar bloqueos de archivos y borrarse sin problemas.
Una de las funciones más peligrosas de eddiestealer es su habilidad para saltarse el cifrado de seguridad de los navegadores basados en Chromium, como Chrome y Edge. Así puede acceder a datos delicados como cookies y credenciales sin necesidad de descifrarlos. Esto lo logra gracias a una herramienta llamada ChromeKatz, reescrita en Rust, que básicamente extrae esa información directamente de la memoria del navegador.
Y por si fuera poco, si eddiestealer detecta que el navegador no está abierto en ese momento, lanza una nueva ventana de Chrome él mismo, usando un truco con comandos de línea. Esa ventana se abre con la posición “--window-position=-3000,-3000”, lo que significa que aparece fuera de la pantalla y el usuario ni siquiera se entera de que el navegador se abrió.
Nuevas versiones de eddiestealer: más inteligentes, sigilosas y multiplataforma
Cuando eddiestealer abre el navegador, tiene un objetivo claro: leer directamente la memoria del proceso de red de Chrome. ¿Cómo lo logra? Detecta un proceso específico con el parámetro -utility-sub-type=network.mojom.NetworkService, que forma parte del sistema de red de Chrome. Desde ahí, intenta extraer credenciales sensibles directamente desde la memoria, sin que la víctima lo note.
Y eso es solo el comienzo. Las versiones más recientes de este malware vienen con funciones todavía más avanzadas. Ahora es capaz de recopilar información detallada sobre el sistema, como los procesos que se están ejecutando, datos de la GPU, el número de núcleos del procesador, e incluso el nombre y fabricante de la CPU.
Además, su comportamiento ha evolucionado. Antes, el malware se quedaba esperando órdenes del servidor remoto para actuar. Hoy en día, envía información del dispositivo apenas se instala, sin necesidad de esperar instrucciones. Esto le permite alertar al atacante de forma inmediata sobre nuevos equipos infectados.
Otro punto importante: la clave de cifrado usada en la comunicación con el servidor viene codificada directamente dentro del malware. Esto le da una ventaja, ya que puede comenzar a comunicarse con el servidor sin depender de intercambios adicionales ni de configuraciones externas.
Y como si todo eso no fuera suficiente, eddiestealer también puede lanzar una nueva instancia de Chrome con el puerto de depuración activado mediante la opción --remote-debugging-port=<número>. ¿Por qué? Porque así puede usar el protocolo DevTools para interactuar con el navegador como si fuera un usuario real, pero sin que nadie se entere. Todo ocurre en segundo plano, de forma autónoma, gracias a una interfaz WebSocket local.
Este tipo de técnicas reflejan cómo los desarrolladores de malware están adoptando lenguajes más modernos y potentes como Rust, que les ofrecen mayor estabilidad, menos errores, y hacen mucho más difícil el trabajo de los sistemas de detección tradicionales. En resumen, están subiendo el nivel.
Mientras tanto, otros actores maliciosos están usando tácticas parecidas en diferentes plataformas. Por ejemplo, una campaña reciente de ClickFix apunta no solo a Windows, sino también a macOS, Android e iOS. El truco es siempre el mismo: usar engaños visuales, redirecciones del navegador, y descargas automáticas para atrapar al usuario.
En el caso de macOS, el ataque comienza cuando la víctima visita un sitio comprometido. Allí es redirigida a una página que le muestra instrucciones detalladas para abrir la Terminal y ejecutar un script. ¿El resultado? Se descarga un malware conocido como AMOS (Atomic macOS Stealer).
Pero si la misma página se visita desde un dispositivo Android, iPhone o una PC con Windows, el comportamiento cambia: se inicia automáticamente la descarga de otro malware troyano, sin necesidad de que el usuario haga clic en nada. Es un proceso tan automatizado que con solo abrir el sitio web ya estás en peligro.
Conoce más sobre: Desmantelado AVcheck: Sitio Utilizado por Hacker para Escanear Malware
Nuevas variantes de malware: Katz Stealer y AppleProcessHub entran en escena
Estas revelaciones llegan justo cuando están apareciendo nuevas familias de malware tipo "stealer", como Katz Stealer y AppleProcessHub Stealer, que están enfocados en atacar sistemas Windows y macOS, respectivamente. Según informes recientes, ambos son capaces de recolectar una gran cantidad de información sensible de los dispositivos que logran infectar.
En el caso de Katz Stealer, funciona de forma similar a eddiestealer, ya que también intenta saltarse el cifrado que protege los datos de Chrome. Pero lo hace con un enfoque distinto: en lugar de acceder a la memoria del navegador, inyecta una DLL (una librería dinámica) para robar la clave de cifrado, sin necesidad de permisos de administrador. Una vez que tiene esa clave, puede descifrar cookies, contraseñas y otros datos guardados en navegadores basados en Chromium, todo sin que el usuario se dé cuenta.
En esta nueva ola de ataques, los ciberdelincuentes están escondiendo JavaScript malicioso dentro de archivos comprimidos en formato gzip. Cuando alguien abre uno de esos archivos, se activa automáticamente la descarga de un script de PowerShell, según explicaron desde Nextron. Ese script, a su vez, descarga una carga útil desarrollada en .NET, que inyecta el malware directamente en un proceso legítimo del sistema. Una vez que el ladrón está activo, comienza a enviar los datos robados al servidor de los atacantes, sin que el usuario lo note.
Por otro lado, tenemos a AppleProcessHub Stealer, un malware específico para macOS que apunta a robar archivos de usuario. Entre los datos que busca están el historial de comandos en bash y zsh, configuraciones de GitHub, datos de SSH, y hasta el acceso al llavero de iCloud, donde se guardan contraseñas y otros datos sensibles.
El ataque funciona más o menos así: se usa un binario Mach-O (el formato típico de ejecutables en macOS) que se conecta a un servidor llamado "appleprocesshub[.]com" para descargar y ejecutar un segundo script. Toda la información recolectada se envía luego al servidor de comando y control del atacante. Este malware fue detectado y reportado por MalwareHunterTeam el 15 de mayo de 2025.
