Cómo eliminar VoidStealer de los sistemas infectados

¿Qué tipo de malware es VoidStealer?

VoidStealer es un tipo de malware que roba datos confidenciales de los navegadores. Utiliza una técnica basada en un depurador para eludir la protección del navegador (cifrado vinculado a la aplicación) mediante la supervisión de la memoria mientras el navegador está en funcionamiento. Esto le permite capturar claves de cifrado sin necesidad de permisos especiales ni de inyectar código. Por este motivo, resulta más difícil de detectar para las herramientas de seguridad.

Introducción

El cifrado vinculado a la aplicación (ABE) es un mecanismo de seguridad que cifra los datos confidenciales (como las contraseñas guardadas) para que solo el navegador pueda acceder a ellos. Esta función de seguridad se incorporó a Google Chrome en 2024. VoidStealer es el primer programa malicioso de tipo «malware como servicio» (MaaS) dedicado al robo de información del que se tiene constancia que utiliza un método para eludir el cifrado ABE.

VoidStealer cuenta con varias versiones, y esta técnica de elusión se incorporó en la versión 2.0 del malware. El programa malicioso utiliza dos métodos distintos para eludir la protección del navegador, por si uno de ellos no funciona. El primer método es bien conocido y consiste en inyectarse en el proceso del navegador, pero las herramientas de seguridad pueden detectarlo fácilmente.

El segundo método es más reciente y discreto, ya que solo lee la memoria del navegador y se integra como un depurador. Esto lo hace menos evidente y más difícil de detectar. En Google Chrome, las contraseñas guardadas y otra información confidencial se cifran y se almacenan en una base de datos local. Estos datos se guardan en un archivo de base de datos SQLite del sistema, que suele encontrarse en la carpeta AppData.

Por lo general, las contraseñas están protegidas de tal forma que solo el navegador (y los procesos autorizados) pueden leerlas. El cifrado vinculado a la aplicación (ABE) protege una clave secreta utilizando los privilegios más elevados del sistema en Windows. El propio Chrome se ejecuta como un usuario normal, por lo que no puede acceder directamente a esta clave.

Para resolver esto, Chrome utiliza un servicio en segundo plano especial que se ejecuta con privilegios más elevados para desbloquear la clave de forma segura cuando es necesario. Cuando Chrome lo solicita, el servicio comprueba la solicitud y, a continuación, devuelve la clave descifrada. A continuación, Chrome utiliza esta clave para cifrar y descifrar datos confidenciales, como contraseñas y cookies.

Los programas de robo de información podrían eludir la protección ejecutándose con privilegios totales, pero eso solo funciona en algunos casos. También pueden inyectarse en Chrome para solicitar la clave, pero eso es más fácil de detectar para las herramientas de seguridad. Chrome protege la clave manteniéndola en la memoria solo durante un breve periodo de tiempo y cifrándola.

VoidStealer aprovecha ese breve instante para examinar la memoria del navegador mediante un depurador y capturar la clave sin necesidad de privilegios elevados ni de inyectar código.

Cómo funciona la técnica

VoidStealer ataca navegadores como Google Chrome y Microsoft Edge. Inicia un proceso oculto en el navegador y se integra en él como un depurador. Esto se debe a que, durante el arranque, el navegador carga y descifra datos protegidos, como las cookies. En ese momento, la clave secreta queda disponible brevemente en la memoria, lo que lo convierte en el momento ideal para que el malware la capture.

VoidStealer establece puntos de interrupción y supervisa el proceso hasta que llega a ese momento exacto; a continuación, extrae la clave directamente de la memoria. Con esta clave, puede descifrar y acceder a datos confidenciales, como contraseñas guardadas y cookies. Los ciberdelincuentes pueden hacer un uso indebido de esta información con diversos fines maliciosos.

Pueden utilizarla para acceder a cuentas (por ejemplo, de redes sociales o bancarias), robar datos personales o cometer fraudes. También pueden utilizar las cuentas secuestradas para difundir malware y estafas. En algunos casos, venden los datos robados a terceros en la dark web.

Conclusión

VoidStealer es un tipo de malware diseñado para robar información confidencial de los navegadores. Utiliza técnicas avanzadas para eludir las medidas de seguridad y acceder a los datos almacenados, como contraseñas y cookies. Esto lo convierte en una grave amenaza, ya que puede actuar de forma sigilosa y evitar ser detectado.

Otros ejemplos de programas de robo de datos son BoryptGrab, MaskGramStealer y Xillen.

¿Cómo se ha infiltrado VoidStealer en mi ordenador?

Los ciberdelincuentes suelen aprovechar las vulnerabilidades de seguridad del software obsoleto o difundir malware a través de programas pirateados, herramientas de activación no oficiales y generadores de claves. Otros métodos habituales son las estafas de «soporte técnico», los correos electrónicos o mensajes engañosos que contienen enlaces o archivos adjuntos dañinos, y los anuncios maliciosos.

El malware también puede distribuirse a través de memorias USB infectadas, sitios web falsos o comprometidos, redes de intercambio de archivos entre pares (P2P) y herramientas de descarga de terceros. Los atacantes suelen ocultarlo en archivos como ejecutables, archivos comprimidos, scripts o documentos como PDF y archivos de Office, que pueden infectar los sistemas una vez abiertos o al realizar acciones adicionales.

¿Cómo evitar la instalación de malware?

Mantén actualizados tu sistema operativo y todos los programas instalados, y descarga el software y los archivos desde sitios web oficiales o tiendas de aplicaciones de confianza. Evita interactuar con anuncios sospechosos, ventanas emergentes o enlaces desconocidos, especialmente en sitios web poco fiables, y no permitas las notificaciones de páginas dudosas.

Desconfía de los correos electrónicos o mensajes inesperados de remitentes desconocidos: no abras archivos adjuntos ni hagas clic en enlaces a menos que estés seguro de que son seguros. Utiliza herramientas de seguridad de confianza para realizar análisis periódicos y detectar posibles amenazas.

Si crees que tu ordenador ya está infectado, te recomendamos que realices un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware que se haya infiltrado.

VoidStealer promocionado en un foro de hackers (fuente: gendigital.com):

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

• ¿Qué es VoidStealer?
• PASO 1. Eliminación manual del malware VoidStealer.
• PASO 2. Comprueba si tu ordenador está libre de virus.

¿Cómo eliminar el malware manualmente?

La eliminación manual de malware es una tarea complicada; por lo general, lo mejor es dejar que los programas antivirus o antimalware se encarguen de ello automáticamente. Para eliminar este malware, recomendamos utilizar Combo Cleaner Antivirus para Windows.

Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso que se está ejecutando en el ordenador de un usuario:

Si has consultado la lista de programas que se están ejecutando en tu ordenador, por ejemplo, mediante el Administrador de tareas, y has identificado un programa que te parece sospechoso, debes seguir estos pasos:

Descarga un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones en el sistema de archivos:

Reinicia el ordenador en modo seguro:

Usuarios de Windows XP y Windows 7: Inicie el ordenador en modo seguro. Haga clic en «Inicio», luego en «Apagar», después en «Reiniciar» y, por último, en «Aceptar». Durante el proceso de arranque del ordenador, pulse varias veces la tecla F8 del teclado hasta que aparezca el menú de opciones avanzadas de Windows y, a continuación, seleccione «Modo seguro con funciones de red» en la lista.

Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:

Usuarios de Windows 8: Inicia Windows 8 en modo seguro con funciones de red: ve a la pantalla de inicio de Windows 8, escribe «Avanzado» y, en los resultados de la búsqueda, selecciona «Configuración». Haz clic en «Opciones de inicio avanzadas» y, en la ventana «Configuración general del PC» que se abre, selecciona «Inicio avanzado».

Haz clic en el botón «Reiniciar ahora». El ordenador se reiniciará y aparecerá el «Menú de opciones de inicio avanzadas». Haz clic en el botón «Solucionar problemas» y, a continuación, en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haz clic en «Configuración de inicio».

Haz clic en el botón «Reiniciar». El ordenador se reiniciará y aparecerá la pantalla de opciones de inicio. Pulsa F5 para arrancar en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:

Usuarios de Windows 10: Haz clic en el logotipo de Windows y selecciona el icono de energía. En el menú que se abre, haz clic en «Reiniciar» mientras mantienes pulsada la tecla «Shift» del teclado. En la ventana «Elige una opción», haz clic en «Solucionar problemas» y, a continuación, selecciona «Opciones avanzadas».

En el menú de opciones avanzadas, selecciona «Configuración de inicio» y haz clic en el botón «Reiniciar». En la ventana que se abra, pulsa la tecla «F5» del teclado. De este modo, el sistema operativo se reiniciará en modo seguro con funciones de red.

Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:

Descomprime el archivo descargado y ejecuta el archivo Autoruns.exe.

En la aplicación Autoruns, haz clic en «Opciones» en la parte superior y desmarca las opciones «Ocultar ubicaciones vacías» y «Ocultar entradas de Windows». Una vez hecho esto, haz clic en el icono «Actualizar».

Revisa la lista que ofrece la aplicación Autoruns y localiza el archivo malicioso que deseas eliminar.

Debes anotar su ruta completa y su nombre. Ten en cuenta que algunos programas maliciosos ocultan los nombres de los procesos bajo nombres de procesos legítimos de Windows. En esta fase, es muy importante evitar eliminar archivos del sistema. Una vez que hayas localizado el programa sospechoso que deseas eliminar, haz clic con el botón derecho del ratón sobre su nombre y selecciona «Eliminar».

Una vez eliminado el malware mediante la aplicación Autoruns (esto garantiza que el malware no se ejecute automáticamente al reiniciar el sistema), debes buscar el nombre del malware en tu ordenador. Asegúrate de activar la visualización de archivos y carpetas ocultos antes de continuar. Si encuentras el nombre del archivo del malware, asegúrate de eliminarlo.

Reinicia el ordenador en modo normal. Si sigues estos pasos, deberías eliminar cualquier malware de tu ordenador. Ten en cuenta que la eliminación manual de amenazas requiere conocimientos avanzados de informática. Si no los tienes, deja que sean los programas antivirus y antimalware los que se encarguen de eliminar el malware.

Es posible que estos pasos no funcionen en casos de infecciones por malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware más tarde. Para mantener tu ordenador a salvo, instala las últimas actualizaciones del sistema operativo y utiliza un programa antivirus. Para asegurarte de que tu ordenador no tiene infecciones por malware, te recomendamos que lo analices con Combo Cleaner Antivirus para Windows.

Preguntas frecuentes (FAQ)

Mi dispositivo está infectado con el malware VoidStealer, ¿debería formatear mi dispositivo de almacenamiento para eliminarlo?

Restablecer o formatear un dispositivo es una forma eficaz de eliminar el malware. Sin embargo, también borra todos los datos si no se ha realizado una copia de seguridad. Se recomienda intentar primero eliminar VoidStealer utilizando una herramienta de seguridad como Combo Cleaner.

¿Cuáles son los principales problemas que puede causar el malware?

El malware puede provocar diversos problemas, como pérdidas económicas o el robo de identidad, así como el robo de datos personales. También puede tomar el control de un dispositivo y dañar o borrar archivos importantes.

¿Cuál es el objetivo de VoidStealer?

El objetivo de VoidStealer es robar información confidencial del ordenador de un usuario, especialmente de los navegadores web. Está diseñado para extraer datos como contraseñas guardadas, cookies y datos de inicio de sesión, de modo que los atacantes puedan acceder a cuentas o llevar a cabo otras acciones maliciosas.

¿Cómo se infiltró VoidStealer en mi dispositivo?

Los ciberdelincuentes difunden malware aprovechando las vulnerabilidades del software obsoleto y utilizando programas pirateados, herramientas de activación falsas y generadores de claves. También recurren a correos electrónicos de phishing, anuncios maliciosos y estafas de «soporte técnico». Además, el malware puede proceder de memorias USB infectadas, sitios web falsos, redes P2P y herramientas de descarga de terceros, y a menudo se oculta en archivos como ejecutables, archivos comprimidos, scripts o documentos.

¿Me protegerá Combo Cleaner contra el malware?

Sí, Combo Cleaner puede detectar y eliminar la mayor parte del malware conocido. Sin embargo, algunas amenazas avanzadas pueden ocultarse en lo más profundo del sistema. Por eso es importante realizar un análisis completo del sistema para asegurarse de que todo se detecte y se elimine.