Un software malicioso de reciente descubrimiento, denominado PupkinStealer, ha sido identificado. Desarrollado en lenguaje C# utilizando el entorno .NET, este programa malicioso, a pesar de su tamaño reducido, tiene la capacidad de sustraer información sensible del usuario, incluyendo credenciales de acceso almacenadas en navegadores, archivos presentes en el escritorio, sesiones activas de aplicaciones de mensajería y capturas de pantalla del sistema.
PupkinStealer emplea la interfaz de programación de aplicaciones (API) de Telegram Bot para la extracción encubierta de datos. Este método pone de manifiesto la creciente tendencia de los agentes maliciosos a explotar plataformas legítimas para propósitos ilícitos.
PupkinStealer, detectado inicialmente en abril de 2025, se presenta como un ladrón de información simple que se centra en un conjunto específico de datos, lo que lo diferencia de programas maliciosos de naturaleza más indiscriminada.
Su utilización de Telegram para las funciones de comando y control concuerda con la creciente popularidad de esta plataforma entre los ciberdelincuentes, debido a las características de anonimato y facilidad de uso que ofrece. CYFIRMA atribuye este malware a un desarrollador identificado como «Ardent», basándose en la evidencia de cadenas de código incrustadas en el software.
PupkinStealer está diseñado para una recolección rápida de datos y opera con mecanismos mínimos de ofuscación o persistencia, priorizando la ejecución rápida sobre el sigilo a largo plazo. Sus capacidades principales incluyen:
El malware extrae y descifra las credenciales de inicio de sesión guardadas de los navegadores basados en Chromium, como Google Chrome, Microsoft Edge, Opera, Opera GX y Vivaldi.
Recupera claves de descifrado de los archivos de estado local de los navegadores y utiliza la API de protección de datos de Windows para descifrar contraseñas almacenadas en bases de datos de datos de inicio de sesión basadas en SQLite.
PupkinStealer escanea el escritorio de la víctima en busca de archivos con extensiones específicas (.pdf, .txt, .sql, .jpg, .png) y los copia en un directorio temporal para su filtración.
El malware se dirige a Telegram copiando la carpeta tdata, que contiene archivos de sesión que permiten el acceso a la cuenta sin credenciales. También extrae tokens de autenticación de Discord de los directorios de LevelDB utilizando expresiones regulares, lo que permite a los atacantes hacerse pasar por víctimas.
PupkinStealer captura una captura de pantalla de 1920×1080 del escritorio de la víctima y la guarda como un archivo .jpg para su filtración.
Todos los datos robados se comprimen en un archivo ZIP con metadatos integrados (nombre de usuario, IP pública e identificador de seguridad de Windows) y se envían a un bot de Telegram controlado por el atacante a través de una URL API diseñada.
PupkinStealer es un ejecutable de Windows basado en GUI de 32 bits con un tamaño de archivo de 6,21 MB. Su hash SHA-256 y escrito en .NET con arquitectura AnyCPU, es compatible con entornos x86 y x64.
El malware utiliza la biblioteca Costura para incrustar archivos DLL comprimidos, lo que contribuye a un alto valor de entropía (7,998) en su sección .text, a pesar de carecer del empaquetado tradicional.
Tras la ejecución, el tiempo de ejecución de .NET inicializa Common Language Runtime (CLR) y llama al método Main() del malware, que organiza tareas asincrónicas para la recolección de datos. Los componentes clave incluyen:
Clase ChromiumPasswords: maneja la extracción de credenciales mediante la creación de archivos de texto específicos del navegador (por ejemplo, Chrome.txt, Edge.txt) en un directorio temporal (%TEMP%\[nombre de usuario]\Passwords) y el descifrado de contraseñas mediante AES-GCM.
- Clases FunctionsForStealer y FunctionsForDecrypt: recupera y descifra claves del navegador de archivos de estado local, lo que permite el acceso a contraseñas cifradas.
- Método GrabberDesktop: copia archivos de escritorio en un directorio DesktopFiles, filtrándolos por extensiones predefinidas y manejando errores de forma silenciosa para evitar la detección.
- Módulos de Telegram y Discord: localice y extraiga datos de sesión y tokens de autenticación, con la carpeta tdata de Telegram copiada de forma recursiva y los tokens de Discord extraídos mediante expresiones regulares.
- Rutinas de captura de pantalla y compresión: capture capturas de pantalla del escritorio y comprima todos los datos robados en un archivo ZIP utilizando codificación CP866 y compresión máxima (nivel 9).
PupkinStealer extrae datos a un bot de Telegram llamado botKanal (nombre de usuario: botkanalchik_bot), probablemente derivado de la palabra rusa «kanal» (canal).
El bot recibe archivos ZIP a través de la API de Telegram Bot, con subtítulos que contienen información detallada de la víctima, incluidos nombres de usuario, direcciones IP, SID e indicadores de éxito del módulo.
«La cadena de atribución del malware, «Codificado por Ardent», sugiere que un desarrollador opera bajo este alias, con pistas adicionales que apuntan a un posible origen ruso basado en texto en ruso en metadatos relacionados de Telegram». Cyfirma dijo a Cyber Security News.
La simplicidad del malware y la falta de defensas antianálisis avanzadas lo convierten en una herramienta accesible para actores de amenazas menos sofisticados. Encaja en una tendencia más amplia de ladrones de información modulares y de baja complejidad disponibles a través de modelos de malware como servicio, que permiten una rápida monetización mediante el robo de credenciales, el secuestro de sesiones y la reventa de datos en los mercados de la web oscura.
Recomendaciones de mitigación
El diseño sencillo de PupkinStealer subraya la necesidad de prácticas sólidas de ciberseguridad para contrarrestar tales amenazas. Las organizaciones y los individuos pueden reducir su riesgo al:
- Conciencia del usuario: tenga cuidado con archivos de fuentes no confiables y evite hacer clic en enlaces sospechosos, especialmente aquellos que promocionan software dudoso.
- Antivirus y actualizaciones: implemente soluciones antivirus confiables y asegúrese de que todo el software, incluidos los navegadores y las aplicaciones de mensajería, se actualice periódicamente para corregir las vulnerabilidades.
- Monitoreo de red: monitoree el tráfico saliente inusual a las API de Telegram u otros servicios atípicos, lo que puede indicar una filtración de datos.
- Gestión de credenciales: utilice administradores de contraseñas para evitar almacenar credenciales en los navegadores y habilite la autenticación multifactor (MFA) en plataformas de mensajería como Telegram y Discord.
- Cultura de seguridad: Fomente un entorno consciente de la seguridad mediante la capacitación periódica de los empleados sobre ingeniería social y riesgos de malware.
