Panorama de la actividad actual de infostealers y el robo de credenciales

Investigadores de ESET analizaron la evolución reciente de los infostealers, un tipo de malware diseñado para robar información sensible como credenciales de acceso, datos financieros o información almacenada en navegadores. A partir de los datos relevados en los últimos ESET Threat Reports, se observa que durante 2025 el panorama de estas amenazas experimentó cambios importantes (Fuente ESET Latam).

Tras el abandono del desarrollo de Agent Tesla por parte de sus creadores, otras familias de malware como Formbook y SnakeStealer tomaron protagonismo en el ecosistema de robo de información. Si bien las detecciones globales de infostealers disminuyeron un 18% durante el segundo semestre de 2025, los especialistas advierten que las campañas se volvieron más sofisticadas, impulsadas por nuevas técnicas de ingeniería social y el uso de inteligencia artificial.

“Los infostealers siguen siendo una de las herramientas favoritas de los cibercriminales porque permiten robar grandes volúmenes de credenciales e información sensible de forma silenciosa. Aunque en el último año vimos una disminución en el volumen de detecciones, también observamos una evolución en su sofisticación, con campañas mejor dirigidas y el uso de nuevas tecnologías para optimizar los ataques”, comenta David González, Especialista en Seguridad Informática de ESET Latinoamérica.

Las familias de malware con mayor impacto en la región

De acuerdo con la telemetría de ESET, estas son algunas de las familias de infostealers con mayor presencia en Latinoamérica:

Formbook (Win/Formbook). Fue la familia más detectada a nivel global al cierre de 2025, con 17,3% del total de detecciones, principalmente distribuida a través de campañas de phishing.
Lumma Stealer (Win/Spy.LummaStealer). Protagonista de ataques masivos dirigidos especialmente a usuarios en México, enfocados en el robo de credenciales y datos almacenados en navegadores.
Agent Tesla (MSIL/Spy.AgentTesla). A pesar de la desaceleración en su desarrollo, continúa siendo ampliamente distribuido mediante descargadores de malware como CloudEyE (GuLoader).
NGate / PhantomCard (Android/Spy.NGate). Una amenaza de spyware móvil orientada principalmente al ecosistema bancario brasileño, con capacidades para robar contactos y datos de tarjetas.
Spy.Banker_(JS/Spy.Banker). Troyanos basados en JavaScript que afectan principalmente a usuarios de servicios financieros y registran una tasa de detección global cercana al 9,5%.

Latinoamérica, un objetivo relevante

El análisis también muestra que Latinoamérica se consolidó como una región de interés para los cibercriminales.

En México, por ejemplo, el 8 de julio de 2025 se registró un pico que concentró el 70% de las detecciones globales de Lumma Stealer, a raíz de una campaña masiva de spam con señuelos en español.

Brasil, por su parte, se posicionó como uno de los principales focos de fraudes mediante tecnología NFC, con malware móvil que suplanta a bancos y plataformas de comercio electrónico.

Otros países de la región también registraron actividad relevante. En Perú, por ejemplo, se detectó un alto volumen de ataques que utilizan la técnica ClickFix, mientras que Chile reportó presencia de NGate, una avanzada herramienta de espionaje vinculada a ataques mediante NFC. En tanto, Colombia y Argentina mantienen una presencia constante en los mapas de detección de infostealers.

Cómo se distribuyen estas amenazas

Entre los principales vectores de infección se destacan:

• Phishing y spam localizado, con archivos adjuntos maliciosos que simulan facturas o pedidos.
• ClickFix, una técnica de ingeniería social que muestra falsos errores del sistema o invita a activar un software para dejarlo totalmente funcionable o desbloquear nuevas características de paga; en ambos casos se busca convencer al usuario de ejecutar comandos maliciosos.
• Descargadores de malware, como CloudEyE (GuLoader), que experimentaron un fuerte crecimiento durante el segundo semestre de 2025.
• Sitios web fraudulentos, que suplantan tiendas oficiales como Google Play para distribuir aplicaciones maliciosas.

Conclusión

Durante 2025 los infostealers redujeron su volumen, pero aumentaron en sofisticación, impulsados por el uso de inteligencia artificial y el crecimiento del modelo Malware-as-a-Service (MaaS). En este contexto, Latinoamérica se consolidó como un objetivo clave para los cibercriminales. De cara a 2026, los especialistas destacan la importancia de reforzar la protección de credenciales, mejorar la detección temprana de estas amenazas y fortalecer la seguridad en entornos móviles y tecnologías como NFC, cada vez más utilizadas en ataques financieros.

La santé sous perfusion, face aux cyberattaques

Longtemps, les hôpitaux comme les cabinets médicaux, ont été des refuges. Des lieux où l’on venait chercher un remède, un répit, parfois une espérance.

En février 2026, la France découvre que 19 millions de patients ont leurs données administratives compromises dans une fuite liée à l’éditeur de logiciels médicaux Cegedim.

L’incident ne vise pas directement les serveurs de l’entreprise, mais les comptes professionnels de médecins utilisant ses outils. Au-delà du choc, cette affaire révèle une transformation profonde : la médecine est devenue l’une des nouvelles cibles privilégiées du cybercrime industriel.

https://librexpression.fr/au-chevet-du-malade-assailli-de-cyberattaques

(Crédits : Sarci Filippo/Pixabay)

#akira #cegedim #Cl0p #email #cyberattack #databreaches #eastwood #europe #europol #France #IA #informatique #infostealers #kidflix #librexpression #NIS2 #phishing #raas #ransomware #saas #spearphishing #threaths #warfare

#Claude #LLM artifacts abused to push #Mac #infostealers in #ClickFix attack

https://www.bleepingcomputer.com/news/security/claude-llm-artifacts-abused-to-push-mac-infostealers-in-clickfix-attack/

#cybersecurity #AI #MacOS #Apple #malvertising #advertising #GoogleAds

This campaign reinforces a critical shift: infostealers are no longer just credential hunters - they’re context harvesters.

AI agents storing plaintext memories, tokens, and configs create a rich target set for commodity malware. Once a host is compromised, attackers don’t need exploits - just file access.

Source: https://www.infostealers.com/article/ai-agents-most-downloaded-skill-is-discovered-to-be-an-infostealer/

💬 How should AI agent data be classified in security models?
🔔 Follow TechNadu for threat-focused, non-sensational analysis

#InfoSec #ThreatModeling #AIrisk #Infostealers #EndpointSecurity #MaaS #TechNadu

Enterprise credentials exposed by infostealers #CyberSecurity #InfoStealers

https://betanews.com/article/enterprise-credentials-exposed-by-infostealers/

ClawdBot - công cụ AI mới trở thành mục tiêu chính của các phần mềm lấy cắp thông tin (infostealers) trong kỷ nguyên AI. Cảnh báo an ninh số đáng chú ý.
#BảoMậtAI #PhầnMềmGiánĐiệp #AISecurity #Infostealers @u/Malwarebeasts

https://www.reddit.com/r/programming/comments/1qo93n5/clawdbot_the_new_primary_target_for_infostealers/

PcComponentes confirms incident was credential stuffing — not a system breach.

Attackers used historical infostealer logs to access accounts and scrape PII.

https://www.technadu.com/pccomponentes-incident-was-a-credential-stuffing-attack-using-infostealer-logs/618878/

Thoughts?
#CredentialStuffing #Infostealers #InfoSec

Actor claims sale of 8M Armenian government records.

Officials deny email system breach but confirm investigation into a civil litigation platform. Researchers suggest infostealer-sourced data.

https://www.technadu.com/8-million-armenian-government-records-allegedly-sold-on-hacker-forum-officials-deny-breach/618159/

#CyberSecurity #DataLeak #Infostealers

Researchers say a lone attacker accessed internal systems at around 50 companies worldwide using infostealer malware and stolen credentials, often where MFA was not enabled, and is offering the access for sale.

Read: https://hackread.com/lone-hacker-infostealers-global-companies-data/

#CyberSecurity #Infostealers #Malware #MFA #Infosec

The confirmed WIRED database leak, validated through infostealer telemetry, illustrates how credential compromise can evolve into mass data exposure.

Claims of a forthcoming Condé Nast dataset raise the potential impact significantly, including targeted phishing, identity abuse, and physical safety risks tied to exposed addresses. The case also highlights challenges around disclosure responsiveness and third-party data visibility.

Thoughts from practitioners on detection, disclosure, or mitigation approaches are welcome.

Follow @technadu for practitioner-focused cybersecurity reporting.

Source: https://www.infostealers.com/article/wired-database-leaked-40-million-record-threat-looms-for-conde-nast/

#InfoSec #ThreatIntelligence #DataBreach #Infostealers #ExposureRisk #CyberDefense