< Back
Chihuahua stealer

Tags:

Threat intelligence
14 Mayo 2025

Resumen Semanal de los ciberataques 08-14 mayo

Resumen Semanal de los ciberataques 07-13 Ago Descubierto "Chihuahua Stealer", un infostealer en PowerShell y .NET 

Se ha detectado un nuevo malware infostealer denominado Chihuahua Stealer. Identificado por por primera vez tras una publicación en Reddit el 9 de abril, este malware se difunde mediante un documento de Google Drive que induce al usuario a ejecutar un script de PowerShell ofuscado. La infección se desarrolla en varias etapas, estableciendo persistencia mediante tareas programadas que buscan archivos marcadores y descargan payloads adicionales desde dominios alternativos. El núcleo del malware, escrito en .NET, roba datos de navegadores y extensiones de monederos de criptomonedas. La información extraída se comprime en un archivo “.chihuahua”, se cifra usando AES-GCM a través de APIs nativas de Windows, y se exfiltra vía HTTPS a un servidor remoto. Finalmente, borra sus huellas para evitar la detección. 

Detenido en Moldavia un sospechoso de ciberataques con ransomware DoppelPaymer 

Las autoridades de Moldavia han arrestado a un hombre de 45 años acusado de participar en ataques con el ransomware DoppelPaymer, que afectaron a organizaciones neerlandesas en 2021. La detención, realizada el 6 de mayo, incluyó el registro de su domicilio y vehículo, donde se incautaron dispositivos electrónicos, dinero en efectivo por valor de 84.800 euros, y otros objetos relevantes. El detenido, de nacionalidad extranjera, está vinculado a un ataque contra el Consejo de Investigación de los Países Bajos (NWO), que generó daños por unos 4,5 millones de euros y obligó a cerrar su sistema de solicitudes de subvenciones. Moldavia ha iniciado los trámites para su extradición a los Países Bajos. Esta acción forma parte de una operación conjunta entre Moldavia y los Países Bajos, en el marco de una investigación más amplia contra el grupo DoppelPaymer, responsable de múltiples ataques a empresas e infraestructuras críticas desde 2019. 

Nuevas herramientas falsas de generación de video con IA propagan el malware Noodlophile 

Investigadores de ciberseguridad han descubierto una nueva campaña maliciosa que utiliza falsos generadores de videos con inteligencia artificial para distribuir un malware llamado Noodlophile. Sitios web con nombres atractivos como "Dream Machine", promocionados en grupos de Facebook, ofrecen supuestos videos generados por IA a partir de archivos del usuario, pero en realidad entregan un archivo comprimido con un ejecutable malicioso camuflado como video. Este archivo, una versión modificada de un editor de video legítimo, desencadena una cadena de infección que culmina con la ejecución del Noodlophile Stealer. Este malware roba credenciales, cookies, tokens y carteras de criptomonedas desde navegadores, y exfiltra los datos a través de un bot de Telegram. Según los investigadores, el malware, de origen vietnamita, se vende en foros de la dark web y se ofrece como servicio. En algunos casos, se combina con el troyano XWorm, ampliando su capacidad de espionaje. 

Nuevo golpe al grupo de ransomware LockBit tras filtración masiva de datos 

El grupo de ransomware LockBit ha sufrido una importante filtración de datos tras ser hackeado su panel de afiliados en la Dark Web. Todos los paneles de administración fueron reemplazados por un mensaje que decía "Don't do crime CRIME IS BAD xoxo from Prague", con un enlace a una base de datos MySQL descargable. El archivo, analizado por expertos, revela cerca de 60.000 direcciones de bitcoin, configuraciones de ataques, nombres de empresas atacadas y más de 4.400 mensajes de negociación con víctimas entre diciembre y abril. También se filtraron credenciales en texto plano de 75 usuarios del panel, incluyendo contraseñas llamativas como “Weekendlover69”. El operador ‘LockBitSupp’ confirmó el incidente, pero aseguró que no se filtraron claves privadas ni se perdió información. Aún se desconoce el autor del ataque, aunque el mensaje coincide con uno usado en un reciente hackeo al grupo Everest. Esta nueva brecha representa otro golpe para LockBit, que ya había sido desarticulado parcialmente en 2024 por la operación policial Cronos. 

El Grupo de Ransomware Agenda Mejora su Arsenal con SmokeLoader y NETXLOADER 

Investigadores de ciberseguridad han descubierto que el grupo de ransomware Agenda, también conocido como Qilin, ha incorporado dos potentes cargadores de malware—SmokeLoader y NETXLOADER—a su conjunto de herramientas de ataque. SmokeLoader es un cargador de malware conocido que facilita la entrega de diversas cargas maliciosas, mientras que NETXLOADER es una herramienta más reciente diseñada para inyectar código malicioso en procesos legítimos, ayudando en la evasión y persistencia. La integración de estas herramientas indica el compromiso de Agenda para mejorar sus mecanismos de entrega de malware y complicar los esfuerzos de detección. El grupo continúa apuntando a organizaciones en varios sectores, lo que enfatiza la necesidad de defensas de ciberseguridad robustas.