Un nuevo robador de credenciales sofisticado disfrazado de un kit de herramientas forenses legítimas ha surgido en GitHub, dirigido a datos confidenciales de los usuarios, incluidas configuraciones de VPN, credenciales de navegador e información de billetera de criptomonedas.
El robador de Octalyn, identificado por primera vez en julio de 2025, se presenta como una herramienta de investigación educativa mientras funciona como un malware en pleno funcionamiento diseñado para el robo y la exfiltración de datos a gran escala.
El malware emplea una arquitectura de doble lenguaje que combina C ++ para su carga útil central con una interfaz de constructor con sede en Delphi, lo que la hace accesible para los actores de amenaza con una experiencia técnica variable.
El constructor requiere solo un token de bot de telegrama y una identificación de chat para generar cargas útiles funcionales, reduciendo significativamente la barrera de entrada para los ciberdelincuentes. Una vez implementado, el robador opera con un sigilo notable, estableciendo persistencia a través de múltiples mecanismos y organizando datos robados en directorios claramente estructurados para un procesamiento eficiente.
Investigadores de Cyfirma identificado El malware durante las actividades de caza de amenazas de rutina, señalando su combinación inusual de presentación legítima y funcionalidad maliciosa.
El repositorio de GitHub del Stealer mantiene la fachada de una herramienta de investigación forense, completa con renuncias educativas, al tiempo que contiene todos los componentes necesarios para la recolección de datos no autorizada.
Este enfoque engañoso ha permitido que el malware permanezca de acceso público, lo que puede llegar a un público más amplio de actores maliciosos.
Las implicaciones financieras de Octalyn Stealer son particularmente preocupantes, ya que se dirige específicamente a las billeteras de criptomonedas en múltiples plataformas, incluidas Bitcoin, Ethereum, Litecoin y Monero.
El malware crea subdirectorios dedicados para cada tipo de criptomoneda, cosechando sistemáticamente direcciones de billetera, claves privadas, frases de semillas y archivos de configuración.
Más allá de los datos financieros, el robador se dirige integralmente a la información almacenada en el navegador, extrayendo contraseñas, cookies, datos de enfoque automático e historial de navegación de los navegadores Chrome, Edge y Opera.
Mecanismo de infección y organización de datos
El proceso de infección del robador de Octalyn comienza con la ejecución de Build.exe, que funciona como un componente de gotero sofisticado.
Tras la ejecución, el malware aprovecha la función API de Windows GetTemppatha para identificar el directorio temporal del sistema, creando posteriormente una estructura de carpeta de trabajo utilizando el patrón de código getenv (“temp”) + “\\ octalyn”. Este directorio principal sirve como área de estadificación para todas las actividades maliciosas posteriores.
El gotero extrae sistemáticamente tres ejecutables integrados: Telegrambuild.exe, Rvn.exe y Assembly.exe, en la carpeta temporal utilizando una estructura de bucle que llama a ShellexCutea en modo silencioso.
La carga útil principal, Telegrambuild.exe, inmediatamente comienza a crear una estructura de directorio organizada con carpetas específicas que incluyen “Cryptowallets”, “Extensiones”, “VPN”, “Juegos” y “Sociales”.
Este enfoque metódico de la organización de datos refleja el diseño de grado comercial del malware, lo que permite una clasificación y procesamiento eficientes de la información robada.
Exfiltración de datos (Fuente – Cyfirma)
El robador emplea técnicas sofisticadas de extracción de datos del navegador, particularmente dirigido al almacenamiento de cookies de Chrome utilizando la ruta “\\ Google \\ Chrome \\ Datos de usuario \\ predeterminado \\ red \\ cookies”.
El malware descifra las cookies almacenadas utilizando las claves de cifrado locales de Chrome, mientras que los procedimientos similares se dirigen a los navegadores de Microsoft Edge y Opera.
Archivo de credenciales con PowerShell (fuente – Cyfirma)
Después de la recopilación de datos, el robador comprime toda la información cosechada en un archivo ZIP usando los comandos de PowerShell, luego transmite el archivo a los canales de telegrama controlados por el atacante a través de conexiones TLS cifradas a api.telegram.org.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
