Las instituciones educativas se han convertido en objetivos principales en la creciente batalla contra los robos de información de productos básicos.
Primero emergiendo en 2022 como un proyecto de código abierto en GitHub, Stoalerium se lanzó inicialmente “con fines educativos” pero rápidamente atrajo un interés ilícito.
Los adversarios adaptaron y mejoraron el código para crear variantes, como el robador fantasma y el robador de urdimbre, recortando en una familia de infantes de infantes de infantes que comparten una superposición de código sustancial.
Modelo de fijación de precios de Phantom Stealer (Fuente – Proofpoint)
Estas herramientas están fácilmente disponibles para actores de baja sofisticación que buscan compras únicas o descargas gratuitas, evitando la complejidad y el costo de las ofertas de malware como servicio.
Las primeras campañas aprovecharon los señuelos de phishing estándar (bancos impersonantes, juzgados y fundaciones caritativas), pero la actividad reciente dentro del sector educativo ha ampliado la superficie de ataque.
Los correos electrónicos con líneas de asunto urgentes como “Fecha límite de registro del curso” y “Aviso de suspensión de la cuenta estudiantil” entregaron ejecutables comprimidos, JavaScript e imágenes de disco que contienen cargas útiles de Stealerium.
Analistas de Probpoint anotado Un aumento en los mensajes dirigidos a universidades y redes K-12 entre mayo y julio de 2025, con volúmenes que van desde cientos hasta decenas de miles de correos electrónicos por campaña.
Página GitHub de Stealerium (Fuente – Proofpoint)
Una vez ejecutadas, las variantes de Strealerium establecen inmediatamente la persistencia y las capacidades de reconocimiento. Los scripts de PowerShell se usan con frecuencia para agregar exclusiones de defensores de Windows, mientras que las tareas programadas aseguran que el malware sobrevive a los reinicios.
Además, el malware ejecuta una serie de comandos WLAN NetSH para enumerar los perfiles Wi-Fi guardados y escanear para redes inalámbricas cercanas, lo que sugiere una intención de cosechar credenciales para el movimiento lateral o la geolocalización de hosts comprometidos.
Solicitud de cotización (fuente – PROURTPOIN)
El impacto de Strealerium en las organizaciones educativas es profundo. Más allá del robo de credenciales, exfiltra las cookies del navegador, los datos de la tarjeta de crédito, los tokens de la sesión de juego e incluso las instantáneas de la cámara web del contenido “NSFW”, es probable que facilite los esquemas de sextortación.
Los canales de exfiltración incluyen archivos adjuntos de correo SMTP, Discord Webhooks, solicitudes de API de telegrama, cargas de GoFile y el servicio de chat de zulip menos conocido.
Los equipos de TI educativos han informado un tráfico de salida inusual a estas plataformas y alertas de las reglas de amenaza emergentes diseñadas para detectar registros de Strealerium y eventos de exfiltración de datos.
Mecanismo de infección y persistencia
El mecanismo de infección del Strealerium es engañosamente sencillo pero técnicamente robusto.
Tras la ejecución de un ejecutable o script comprimido, el malware genera un cargador de PowerShell que recupera e instala la carga útil del robador basada en .NET en una ruta aleatoria en el directorio AppData del usuario (por ejemplo, C: \ Users \\ AppData \ Local \\ @_ \).
Después de esto, el cargador invoca el principal binario de robador, que comienza creando un mutex para evitar múltiples instancias y realizar verificaciones de anti-análisis, verificando el nombre de usuario, el modelo GPU, la máquina de la máquina e incluso descargar blocklists dinámicos de un repositorio público de GitHub para evadir los entornos de arena.
Luego, el robador registra una tarea programada nombrada utilizando un GUID derivado de la información del sistema, asegurando la ejecución en el inicio de sesión del usuario o a intervalos aleatorios para evadir la detección.
Al mismo tiempo, un script de PowerShell desactiva el monitoreo en tiempo real en el defensor de Windows al agregar reglas de exclusión, cegando efectivamente la protección del punto final.
Finalmente, Strealerium lanza un proceso de cromo sin cabeza con el argumento-Remote-DeBugging-Port para extraer cookies, credenciales y tokens directamente de la memoria del navegador-una técnica avanzada que omite el cifrado estándar y la caja de arena de aplicaciones.
// Ejemplo de invocación de depuración remota en las variantes de Stealerium ProcessStartInfo psi = new ProcessStartInfo () {filename = “chrome.exe”, argumentos = “-Headless –Disable-Gpu —remote-DeBugging-Port = 9222 https://example.com”, createNowindow = verdadero, USESHELECUTE-ELPUTE- = 9222 https://example.com “, createNowindow = verdadero, UseshelExExExlex; Process Chrome = Process.Start (PSI);
Este enfoque de varias etapas, que combina la puesta en escena aleatoria, la persistencia programada, las verificaciones de anti-análisis y la extracción de datos avanzados, hace que el robo de redes educativas sea una potente amenaza contra las redes educativas.
Las organizaciones deben monitorear las exclusiones inusuales del defensor de PowerShell, tareas programadas anómalas y conexiones de red con discordia, telegrama, gofile y puntos finales zulip para detectar y mitigar de manera efectiva estos ataques.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
