Los tres principales enemigos de tus ahorros: por qué Internet se ha vuelto aún más peligroso tras el desmantelamiento de Lumma Stealer
Los consejos tradicionales para proteger los datos son inútiles frente a los atacantes de la nueva ola.
Después de la liquidación de la infraestructura de Lumma Stealer en 2025, el mercado de programas maliciosos para el robo de datos empezó a cambiar rápidamente. El espacio liberado fue ocupado por herramientas nuevas y ya conocidas, y entre los autores de malware aumentó la competencia por el control de la distribución de programas para el robo de datos. En este contexto, los especialistas de llamaron la atención sobre un proyecto relativamente nuevo llamado AuraStealer, que ya participa en varios ataques.
AuraStealer apareció por primera vez en foros de hackers en julio de 2025. El malware se difundió rápidamente en los círculos subterráneos y busca hacerse un lugar entre las herramientas populares para el robo de datos. AuraStealer compite con familias como Rhadamantys y Vidar, que tras el cierre de Lumma reforzaron su posición en el mercado clandestino.
El informe de la empresa Intrinsec describe la arquitectura del malware y la infraestructura de comando y control. El equipo identificó 48 nombres de dominio de servidores de mando, a través de los cuales los operadores reciben la información robada y gestionan los sistemas infectados. El análisis de la infraestructura de red mostró un cambio notable en las zonas de dominio utilizadas. Las primeras campañas usaban dominios con la extensión .shop; sin embargo, posteriormente los operadores comenzaron a registrar activamente direcciones en la zona .cfd. Esta migración ayuda a ocultar la infraestructura y dificulta su bloqueo.
Los autores del estudio también describieron un método para rastrear los servidores de mando mediante motores de búsqueda. Este enfoque permite encontrar nuevos dominios de la infraestructura, incluso cuando los operadores cambian las direcciones con regularidad.
El análisis técnico abordó el panel de control y el módulo malicioso principal. El código del programa muestra la lógica habitual en los programas para el robo de datos. El malware recopila datos de los navegadores, extrae cuentas guardadas, intercepta información de monederos de criptomonedas y envía los datos recopilados a los servidores de los operadores. En el informe se incluyen más de 340 indicadores de compromiso que permiten detectar la actividad de AuraStealer en redes corporativas.
Durante la preparación del informe, el equipo de analistas de Intrinsec combinó datos de monitoreo de seguridad, hallazgos de investigaciones de incidentes y sus propios métodos de análisis, incluyendo el uso de señuelos, la ingeniería inversa del código malicioso y el estudio de la infraestructura de red de los atacantes.
Los autores consideran que la aparición de nuevos programas para el robo de datos tras el cierre de Lumma demuestra la rápida adaptación del mercado subterráneo. Los nuevos proyectos intentan ocupar las posiciones liberadas, y los operadores de malware modernizan activamente la infraestructura para mantener la resistencia frente a los bloqueos y las investigaciones.