- Inf0s3c Stealer exfiltra datos por Discord usando webhooks y archivos RAR protegidos.
- Empaquetado dual con UPX y PyInstaller, alta entropía y fuertes técnicas de ofuscación.
- Roba credenciales, cookies, wallets, sesiones de apps y contraseñas Wi-Fi en Windows.
- Incluye persistencia (.scr en Inicio), anti-análisis, UAC bypass y borrado automático.
Un nuevo ladrón de información escrito en Python está llamando la atención por su capacidad para extraer datos a través de canales de Discord sin levantar sospechas. La muestra, conocida como Inf0s3c Stealer, combina recolección exhaustiva en equipos Windows con un método de salida sigiloso que aprovecha la infraestructura de una plataforma legítima.
El comportamiento observado revela un enfoque metódico: el binario, un PE de 64 bits empaquetado con UPX, se ejecuta, perfila el sistema con comandos nativos y APIs de Windows, consolida la información en un espacio temporal y la envía a un webhook de Discord como archivo comprimido protegido.
Qué es Inf0s3c Stealer y cómo se diferencia
Inf0s3c Stealer es un grabber todo en uno diseñado para inventariar el host y vaciar datos sensibles de usuarios. Apunta a cuentas de Discord, credenciales y cookies de navegadores, historiales, contraseñas Wi-Fi, monederos de criptomonedas y sesiones de plataformas de juego como Steam, Epic Games, Minecraft o Roblox, además de mensajería como Telegram.
Los investigadores de Cyfirma describen un empaquetado sofisticado: primero se comprime con UPX y luego se doble capa, logrando una doble capa que dificulta los motores basados en firmas y complica el análisis estático. La muestra ronda los 6,8 MB y mantiene una entropía elevada (en torno a 8.000), señal de fuerte ofuscación.
Durante la ejecución, el malware crea carpetas temporales en %TEMP% y ordena los artefactos robados en subdirectorios como “System”, “Directories” y “Credentials”. Esa clasificación previa simplifica el empaquetado y la posterior exfiltración automatizada.
Cadena de ejecución y recopilación de información
Al arrancar, el binario invoca de forma silenciosa CMD/PowerShell para ejecutar systeminfo
, getmac
y tasklist
, mientras consulta APIs del sistema como OpenProcessToken
, GetTokenInformation
o GetEnvironmentVariableW
para obtener identificadores del equipo, CPU, claves de producto y parámetros de red.
A la par, el stealer recorre carpetas de usuario (Escritorio, Documentos, Imágenes, Música, Vídeos, Descargas) con FindFirstFileW
y genera árboles de directorios mediante tree /A /F
. También captura pantallazos con GDI+ y, si es posible, imágenes de webcam, pudiendo incluso mostrar cuadros de error engañosos para despistar.
La fase final de recolección se centra en credenciales: extrae contraseñas guardadas, cookies y autocompletados de navegadores, interroga el registro para recuperar claves Wi-Fi y persigue tokens y sesiones de aplicaciones (Discord, Telegram), wallets y entornos de juego populares.
Exfiltración encubierta a través de Discord
En lugar de servidores C2 tradicionales, la amenaza abusa de la API de Discord mediante webhooks y técnicas similares a las usadas por los mejores bots de Discord. Una vez reunida la información, invoca rar.exe
para crear un archivo protegido por contraseña, a menudo denominado Blank-WDAGUtilityAccount.rar
, con la clave fija «blank123», y lo sube a un webhook identificado como “Blank Grabber”.
Esta estrategia camufla el tráfico malicioso dentro de camuflar el tráfico dentro de HTTPS legítimo, lo que reduce las posibilidades de detección por parte de controles perimetrales que no inspeccionan de cerca adjuntos o destinos considerados de confianza.
Persistencia, evasión y antiforense
Para permanecer en el sistema, Inf0s3c Stealer se copia en la carpeta de Inicio de Windows con extensión .scr (imitando un salvapantallas). Implementa esta táctica con una función de tipo “PutInStartup” y puede intentar eludir el UAC valiéndose de ConvertStringSecurityDescriptorToSecurityDescriptorW
.
En defensa propia, incorpora controles anti-análisis: comprobaciones de máquina virtual (por cadenas de BIOS), temporizaciones con QueryPerformanceFrequency
para detectar depuración, bloqueo de sitios de antivirus e intercepción de ciertos servicios de seguridad. Un “pump stub” infla artificialmente el tamaño del ejecutable para esquivar heurísticas simples.
Completada la exfiltración, puede autoborrarse (“melt”) para minimizar huellas forenses. Algunas variantes presentan inyección en el cliente de Discord para persistencia y para facilitar la captura de tokens.
Empaquetado y análisis estático
El binario se distribuye con doble embalaje: UPX comprime inicialmente el ejecutable y PyInstaller incrusta bytecode y recursos en una capa superpuesta que se reconstruye en tiempo de ejecución. Al extraer esta sobrecapa, los analistas recuperaron módulos y scripts internos para su revisión.
La tabla de importaciones revela varias categorías funcionales: operaciones de archivos y directorios (WriteFile
, DeleteFileW
, FindFirstFileW
), gestión de procesos (OpenProcessToken
, GetTokenInformation
, K32EnumProcessModules
), control del sistema (GetEnvironmentVariableW
, SystemParametersInfoW
), memoria y anti-debug (VirtualProtect
, RaiseException
, QueryPerformanceFrequency
) y gestión de seguridad (ConvertStringSecurityDescriptorToSecurityDescriptorW
).
Entre la lógica extraída destaca la llamada a rar.exe
con una contraseña predeterminada para empacar el botín en un RAR protegido, confirmando el diseño de empaquetado seguro previo a la subida a Discord.
Detección y mitigación recomendadas
Para frenar esta amenaza, conviene desplegar EPP/EDR con enfoque conductual capaces de EPP/EDR con enfoque conductual y detectar el uso anómalo de compresores como RAR, así como ejecuciones encadenadas de CMD y PowerShell.
Es clave aplicar filtros de salida que bloqueen webhooks de Discord no autorizados, vigilar HTTP/HTTPS en busca de adjuntos inusuales y reforzar el registro de comandos como systeminfo
, getmac
, tasklist
o tree
para identificar patrones de reconocimiento.
Complemente con principio de mínimo privilegio, auditoría de cambios en el Registro y en la carpeta de Inicio, y reglas YARA actualizadas (por ejemplo, las de Cyfirma, Inf0s3c_Grabber_Malware
). La segmentación de red, copias de seguridad fuera de línea y la formación del personal en phishing y manejo de ejecutables son pilares adicionales.
Contexto de amenaza y tendencias
El carácter modular, las rutinas de ofuscación (compresión Base64, reconstrucción en runtime) y la exfiltración automatizada por Discord recuerdan a proyectos de la misma estirpe, como Umbral-Stealer. La combinación de persistencia, defensa activa y borrado apunta a una evolución creciente del malware en Python.
Con su mezcla de reconocimiento del host, agregación estructurada, archivado cifrado y salida encubierta por Discord, Inf0s3c Stealer eleva el listón de los info-stealers. La vigilancia continua, controles de endpoint robustos, telemetría accionable y el intercambio rápido de inteligencia se vuelven determinantes para detectar variantes y evitar fugas significativas.