Faraday
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

Nuevo Gremlin Infostealer, distribuido en Telegram

El creciente mundo de los ladrones de información (infostealers) ha dado lugar a su nueva variante: Gremlin Stealer.

En un informe publicado el 29 de abril, investigadores de Unit 42 de Palo Alto Networks compartieron un análisis técnico de esta nueva variante de infostealer.

Gremlin Stealer ha sido anunciado por sus creadores desde mediados de marzo de 2025, principalmente en un canal de Telegram llamado CoderSharp.

Aunque parece estar aún en desarrollo, la descripción de este nuevo infostealer afirma que su versión actual ya puede robar datos de una amplia gama de software en un ordenador con Windows, como navegadores, el portapapeles y el disco duro local.

Gremlin Stealer es un robo de información escrito en C#. Extrae datos de sus víctimas y los sube a su servidor web para su publicación.

El informe de Unit 42 indicó que Gremlin puede eludir la protección de cookies V20 de Chrome y que su proceso de compilación no descarga nada de internet.

El ladrón de información puede recopilar una amplia gama de datos, incluyendo:

  • Datos del portapapeles en el dispositivo local
  • Capturas de pantalla del dispositivo local
  • Metadatos del dispositivo local (p. ej., BSID, HVID, RAM, CPU, GPU y dirección IP)
  • Datos de tarjetas de crédito, cookies del navegador, contraseñas y formularios de una extensa lista de navegadores basados en Chromium y Gecko
  • Información de la billetera de criptomonedas
  • Datos del servicio FTP (Protocolo de Transferencia de Archivos)
  • Credenciales de la red privada virtual (VPN)
  • Datos de Steam (p. ej., datos de tokens y sesiones)
  • Tokens de Discord
  • Datos de sesiones de Telegram

Una vez que Gremlin recopila los datos, crea una para almacenarlos en archivos de texto sin formato. Estos textos se recopilan en un archivo ZIP, que se envía a su servidor a través de una URL. Luego envía estos datos mediante un bot de Telegram y sube los datos robados al servidor mediante una clave API de Telegram predefinida.

El grupo responsable del malware Gremlin Stealer afirma haber subido grandes cantidades de datos robados de las máquinas de las víctimas a un servidor en 207.244.199[.]46, un portal configurable que forma parte del paquete de venta de malware.

El sitio web de Gremlin Stealer aloja actualmente 14 archivos ZIP con datos robados, lo que permite a los usuarios eliminarlos o descargarlos.

ARTÍCULOS RELACIONADOS

SendmarcBig Head

OPINIÓN

Darcula PhaaS roba 884.000 tarjetas de crédito, mediante mensajes de phishing

Inferno Drainer regresa, con un robo de millones de criptomonedas

Ciberataques de Importancia Nacional se duplicaron, según el NCSC del Reino Unido

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO