{"id":365,"date":"2026-03-25T16:14:06","date_gmt":"2026-03-25T16:14:06","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/25\/el-malware-glassworm-utiliza-solana-dead-drops-para-entregar-rat-y-robar-datos-criptograficos-y-del-navegador-cyberdefensa-mx\/"},"modified":"2026-03-25T16:14:06","modified_gmt":"2026-03-25T16:14:06","slug":"el-malware-glassworm-utiliza-solana-dead-drops-para-entregar-rat-y-robar-datos-criptograficos-y-del-navegador-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/25\/el-malware-glassworm-utiliza-solana-dead-drops-para-entregar-rat-y-robar-datos-criptograficos-y-del-navegador-cyberdefensa-mx\/","title":{"rendered":"El malware GlassWorm utiliza Solana Dead Drops para entregar RAT y robar datos criptogr\u00e1ficos y del navegador \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han se\u00f1alado una nueva evoluci\u00f3n de la campa\u00f1a GlassWorm que ofrece un marco de m\u00faltiples etapas capaz de robar datos integrales e instalar un troyano de acceso remoto (RAT), que implementa una extensi\u00f3n de Google Chrome para robar informaci\u00f3n haci\u00e9ndose pasar por una versi\u00f3n fuera de l\u00ednea de Google Docs.<\/p>\n

\u00abRegistra las pulsaciones de teclas, descarga cookies y tokens de sesi\u00f3n, realiza capturas de pantalla y recibe comandos de un servidor C2 oculto en una nota de la cadena de bloques Solana\u00bb, dijo el investigador de seguridad de Aikido Ilyas Makari. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n

GlassWorm es el apodo asignado a una campa\u00f1a persistente que obtiene un punto de apoyo inicial a trav\u00e9s de paquetes maliciosos publicados en npm, PyPI, GitHub y el mercado Open VSX. Adem\u00e1s, se sabe que los operadores comprometen las cuentas de los mantenedores del proyecto para enviar actualizaciones envenenadas.<\/p>\n

Los ataques son lo suficientemente cuidadosos como para evitar infectar sistemas con una configuraci\u00f3n regional rusa y utilizan transacciones de Solana como un sistema de resoluci\u00f3n muerta para recuperar el servidor de comando y control (C2) (\u00ab45.32.150[.]251\u00bb) y descargar cargas \u00fatiles espec\u00edficas del sistema operativo.<\/p>\n

La carga \u00fatil de la etapa dos es un marco de robo de datos con capacidades de recolecci\u00f3n de credenciales, exfiltraci\u00f3n de billeteras de criptomonedas y creaci\u00f3n de perfiles del sistema. Los datos recopilados se comprimen en un archivo ZIP y se extraen a un servidor externo (\u00ab217.69.3[.]152\/pared\u00bb). Tambi\u00e9n incorpora funcionalidad para recuperar y lanzar la carga \u00fatil final.<\/p>\n

Una vez que se transmiten los datos, la cadena de ataque implica recuperar dos componentes adicionales: un binario .NET dise\u00f1ado para llevar a cabo phishing de billetera de hardware y un RAT JavaScript basado en Websocket para desviar datos del navegador web y ejecutar c\u00f3digo arbitrario. La carga \u00fatil RAT se obtiene de \u00ab45.32.150[.]251\u00bb mediante el uso de una URL de evento p\u00fablica de Google Calendar como solucionador de ca\u00eddas muertas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El binario .NET aprovecha la infraestructura del Instrumental de administraci\u00f3n de Windows (WMI) para detectar conexiones de dispositivos USB y muestra una ventana de phishing cuando se conecta una billetera de hardware Ledger o Trezor.<\/p>\n

\u00abLa interfaz de usuario de Ledger muestra un error de configuraci\u00f3n falso y presenta 24 campos de entrada de frases de recuperaci\u00f3n numerados\u00bb, se\u00f1al\u00f3 Makari. \u00abLa interfaz de usuario de Trezor muestra un mensaje falso de ‘Error en la validaci\u00f3n del firmware, iniciando reinicio de emergencia’ con el mismo dise\u00f1o de entrada de 24 palabras. Ambas ventanas incluyen un bot\u00f3n ‘RESTAURAR WALLET’\u00bb.<\/p>\n

El malware no s\u00f3lo elimina cualquier proceso real de Ledger Live que se est\u00e9 ejecutando en el host de Windows, sino que tambi\u00e9n vuelve a mostrar la ventana de phishing si la v\u00edctima la cierra. El objetivo final del ataque es capturar la frase de recuperaci\u00f3n de la billetera y transmitirla a la direcci\u00f3n IP \u00ab45.150.34[.]158.\u00bb<\/p>\n

La RAT, por otro lado, utiliza una tabla hash distribuida (DHT) para recuperar los detalles de C2. En caso de que el mecanismo no devuelva ning\u00fan valor, el malware cambia al punto muerto basado en Solana. Luego, la RAT establece comunicaci\u00f3n con el servidor para ejecutar varios comandos en el sistema comprometido:<\/a><\/p>\n