Los ciberdelincuentes no descansan y el malware tampoco. Stealc, uno de los softwares maliciosos más notorios de los últimos años, ha dado un salto preocupante en su evolución. Los creadores de este infostealer liviano (capaz de robar información y descargar otros tipos de malware) lanzaron en marzo de 2025 su segunda versión principal, incorporando mejoras significativas en sigilo y robo de datos. Aunque su disponibilidad en la red oscura comenzó en 2023 con precios de suscripción de apenas $200 mensuales, su sofisticación y alcance no han dejado de crecer.
Durante 2024, Stealc protagonizó campañas de publicidad maliciosa a gran escala y ataques que bloqueaban sistemas en modos de quiosco inevitables. A finales de ese año, sus desarrolladores demostraron que el proyecto seguía muy activo al agregar un mecanismo que elude las defensas de Chrome contra el robo de cookies, permitiendo incluso la regeneración de cookies vencidas para secuestrar cuentas de Google.
La última versión, 2.2.4, consolida varias correcciones de errores y nuevas capacidades que refuerzan su estatus como una amenaza crítica. Comprender cómo funciona Stealc y qué lo hace tan efectivo es el primer paso para proteger tanto tu información personal como los activos digitales de cualquier organización.
¿Qué trae de nuevo la última versión?
La versión 2 de Stealc (y las que le siguieron) salió en marzo de 2025 y, según un análisis reciente, llegó con varias mejoras importantes:
-
Ahora puede entregar su payload (carga maliciosa) usando archivos EXE, paquetes MSI y hasta scripts de PowerShell. Además, la activación de esa carga es configurable, lo que les da a los atacantes más control.
-
Se incorporó cifrado RC4 tanto para las cadenas de código como para las comunicaciones con su servidor de comando y control (C2). Para hacerlo aún más difícil de detectar, las respuestas C2 incluyen parámetros aleatorios.
-
A nivel técnico, mejoraron la arquitectura y la manera en que se ejecuta. Las nuevas cargas útiles están compiladas para sistemas de 64 bits, resuelven funciones de API en tiempo real y hasta tienen una rutina de autoeliminación para borrar sus huellas.
-
Incluyeron un generador integrado que permite a los atacantes crear nuevas versiones de Stealc fácilmente, usando plantillas y reglas de robo de datos que pueden personalizar a su gusto.
-
Ahora también es compatible con bots de Telegram, lo que permite a los atacantes recibir alertas en tiempo real sobre sus víctimas.
-
Y, por si fuera poco, añadieron una función para tomar capturas de pantalla del escritorio de las víctimas, incluso si usan múltiples monitores.
Nuevo panel de administración de StealC v2 (Fuente: Zscaler)
Pero no todo fueron agregados. También se eliminaron algunas funciones importantes, como las comprobaciones anti-VM (que detectaban si el malware estaba corriendo en una máquina virtual) y la capacidad de descargar y ejecutar DLL.
Esto podría ser un intento de hacer que Stealc sea más rápido y eficiente. Aunque, siendo honestos, también es posible que estas funciones se hayan quitado porque el código se renovó bastante y podrían volver más adelante, mejoradas, en futuras versiones.
Flujo de comunicación C2 de StealC
En los ataques más recientes, Stealc ha sido desplegado usando Amadey, un cargador de malware bastante conocido. Eso sí, distintos atacantes pueden variar tanto en cómo lo distribuyen como en las tácticas que usan durante el ataque.
Conoce más sobre: ¿Páginas inesperadas en Chrome? Aprende qué hacer si abre páginas solo
Conclusión
Stealc ha demostrado ser mucho más que otro malware pasajero. Con cada nueva versión, sus creadores no solo corrigen errores, sino que refinan sus capacidades para evadir defensas y maximizar el robo de datos. Su evolución constante y su facilidad de personalización lo convierten en una amenaza seria tanto para usuarios comunes como para empresas.
Si quieres mantener tus datos a salvo de este tipo de malware que roba información, evita guardar datos sensibles en tu navegador, aunque sea más cómodo. Además, activa siempre la autenticación multifactor en tus cuentas y nunca descargues software pirateado o de fuentes que no sean de total confianza.
