Gremlin Stealer evoluciona: ocultándose en los recursos y monitorizando el portapapeles en tiempo real

Gremlin Stealer, que inicialmente era una herramienta básica para extraer datos como contraseñas de navegadores y tokens de sesión, ha evolucionado hacia una versión más sofisticada y modular. La última variante utiliza una serie de técnicas de ocultamiento para evitar ser detectada por herramientas de análisis estático y por investigadores de ciberseguridad.

Ahora, el malware almacena su carga maliciosa en secciones ocultas del archivo ejecutable, como la sección de recursos del .NET, y la encripta con técnicas como el cifrado de XOR, lo que la hace invisible para los sistemas de detección basados en firmas.

Además, ha incorporado nuevas funcionalidades clave:

• Un módulo de «clipper cripto» que monitorea en tiempo real el portapapeles en busca de direcciones de billetera criptográfica. Cuando encuentra una coincidencia, reemplaza automáticamente la dirección del usuario por una que pertenece al atacante, permitiendo fraudes financieros en transacciones en curso.
• Un módulo de «hijacking de sesión» basado en WebSocket que permite interceptar sesiones activas en navegadores, superando los mecanismos de protección basados en cookies al solicitar directamente los datos desde el proceso del navegador en ejecución.
• Un módulo especializado en extracción de tokens de Discord que escanea múltiples rutas y valida patrones mediante expresiones regulares, comprometiendo así plataformas modernas de comunicación.

Esto marca una transición clave: de un simple recolector de datos a un atacante activo que interfiere directamente en procesos de identidad y finanzas digitales.

Detalles Técnicos

La última versión de Gremlin utiliza varios métodos de obfuscación avanzados para dificultar su análisis y detección:

1. Ocultamiento del payload en recursos del ejecutable

El contenido malicioso se almacena en la sección de recursos del archivo .NET, que es normalmente ignorada por los analistas. Esta sección está encriptada con un cifrado de XOR de un byte. Para recuperar el código original, se debe aplicar una rutina de desencriptación manual, que requiere herramientas de depuración dinámica o análisis en tiempo real.

2. Renombrado de identificadores («Técnica del ‘Sin Etiquetas’»)

Todos los nombres significativos de clases, métodos o variables se han reemplazado por nombres ambiguos como a, b, c o hf. Por ejemplo, una función originalmente llamada ObtenerContraseñasDeChrome podría aparecer como a() en el código desobfuscado. Esto obliga al analista a seguir cada llamada de función para entender su propósito, lo que resulta en un trabajo extremadamente laborioso.

3. Encriptación de cadenas («Técnica del ‘Círculo de Decodificación’»)

Las cadenas importantes —como direcciones URL, direcciones de billetera o puntos de conexión API— no se escriben en texto plano. En su lugar, el código contiene solo números que actúan como claves para una función de decodificación. Cuando el malware necesita una cadena, la pasa a la función de descifrado, que devuelve la cadena real.

Por ejemplo:

string url = global::_003CModule_003E.c(18829, 2178, 23);
// Después de decodificar: "http://api.ipify.org/?format=json"

Esta técnica evita que los analistas puedan buscar por palabras como «wallet», «Telegram» o «api.ipify.org» en el código, ya que no existen en texto plano. Solo se pueden detectar al ejecutar el programa o mediante un análisis de desensamblaje.

4. Obfuscación del flujo de control («El laberinto de caminos innecesarios»)

El código contiene un entramado de sentencias if-else, saltos goto y operaciones matemáticas que no afectan el resultado final. Esto crea un «laberinto» que confunde tanto a analistas humanos como a herramientas automatizadas, haciéndolo mucho más difícil determinar el flujo real de ejecución.

Aunque el comportamiento real sea simple, la presentación visual es compleja y desorientadora, aumentando significativamente el tiempo necesario para analizar el código.

5. Uso de una herramienta comercial de empaquetado

Una variante del malware (SHA-256: 2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9b) fue empaquetada usando una herramienta comercial que aplica virtualización de instrucciones, transformando el código original en un bytecode personalizado que se ejecuta en una máquina virtual privada. Esto añade una capa adicional de ocultamiento.

¿A quién afecta?

Cualquier usuario que acceda a navegadores basados en Chromium (como Chrome, Edge o Brave) está en riesgo. El malware se centra especialmente en:

• Usuarios que almacenan direcciones de billetera criptográfica en el portapapeles o en pestañas de navegadores.
• Personas que usan servicios financieros digitales con tokens de sesión activos.
• Usuarios que no emplean medidas de seguridad como cookies seguras o autenticación en dos factores.

El riesgo es particularmente alto porque el atacante puede interceptar y redirigir transferencias de criptoactivos en tiempo real, sin que el usuario se dé cuenta.

Mitigaciones y Recomendaciones

Los usuarios y organizaciones deben adoptar las siguientes medidas para reducir su exposición:

1. Evitar copiar información sensible manualmente, especialmente direcciones de billetera.
2. Usar billeteras de hardware para almacenar activos criptográficos — las que se almacenan en memoria o en el portapapeles son altamente vulnerables.
3. Habilitar políticas de seguridad en navegadores, como cookies HTTP-only, atributos de mismo sitio (same-site) y protecciones contra sesiones activas.
4. Aplicar protección en el punto final con soluciones que detecten comportamientos maliciosos (como Palo Alto Cortex XDR, Defender para Endpoint).
5. Habilitar monitoreo de credenciales para detectar acceso inusual o transferencias sospechosas.
6. Bloquear dominios y IPs conocidos mediante filtros de URL y seguridad DNS.
7. Mantener actualizado el sistema operativo y navegadores, ya que las vulnerabilidades conocidas pueden ser explotadas por este tipo de malware.

Indicadores de Compromiso (IoCs)

Los indicadores se publican defangados para evitar clics accidentales.

Hashes (SHA-256)

2172dae9a5a695e00e0e4609e7db0207d8566d225f7e815fada246ae995c0f9b
9aab30a3190301016c79f8a7f8edf45ec088ceecad39926cfcf3418145f3d614
971198ff86aeb42739ba9381923d0bc6f847a91553ec57ea6bae5becf80f8759
ab0fa760bd037a95c4dee431e649e0db860f7cdad6428895b9a399b6991bf3cd
f76ba1a4650d8cafb6d3ff071688c5db6fd37e165050f03cece693826f51d346
a9f529a5cbc1f3ee80f785b22e0c472953e6cb226952218aecc7ab07ca328abd
691896c7be87e47f3e9ae914d76caaf026aaad0a1034e9f396c2354245215dc3
281b970f281dbea3c0e8cfc68b2e9939b253e5d3de52265b454d8f0f578768a2
9fda1ddb1acf8dd3685ec31b0b07110855832e3bed28a0f3b81c57fe7fe3ac20
d11938f14499de03d6a02b5e158782afd903460576e9227e0a15d960a2e9c02c
1bd0a200528c82c6488b4f48dd6dbc818d48782a2e25ccd22781c5718c3f62f5

URLs C2

hxxp[:]194.87.92[.]109/i.php

La evolución del malware Gremlin Stealer refleja una tendencia más amplia en el mundo del ciberataque: el aumento de la sofisticación en la ocultación, la automatización de ataques y la intervención activa en procesos financieros. Esta variante no solo recoge datos, sino que interfiere directamente en transacciones de criptomonedas, reemplazando direcciones de billetera en tiempo real.

Aunque los métodos de exfiltración siguen siendo similares, el uso de técnicas como el monitoreo del portapapeles, el hijacking de sesiones y la extracción de tokens de Discord marca una gran escalada en el enfoque del atacante.

Las organizaciones deben adoptar una estrategia de defensa multifacética que incluya vigilancia basada en comportamiento, protección en el punto final y gestión rigurosa de credenciales, para contener esta amenaza en constante evolución.

Artículo original [EN]