Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es EKZ Stealer?
EKZ Stealer es un ladrón de información diseñado para extraer silenciosamente contraseñas guardadas, cookies, datos de autocompletado y detalles de tarjetas de pago de los navegadores web en equipos Windows infectados. Según la investigación de Arctic Wolf, fue observado por primera vez en mayo de 2026 como parte de una campaña dirigida a organizaciones que utilizan el software FortiClient EMS de Fortinet.
Para distribuir el stealer, los atacantes lo disfrazaron como una actualización legítima del software de Fortinet con el nombre FortiEndpoint_Patch.exe. El archivo se envió a los endpoints gestionados de forma automática a través de configuraciones de perfiles VPN manipuladas, lo que significa que las víctimas normalmente no tenían idea de que el malware se estaba instalando.
Descripción general de EKZ Stealer
El malware se dirige tanto a navegadores basados en Chromium (como Chrome y Edge) como a navegadores basados en Firefox, incluyendo LibreWolf, Waterfox, Pale Moon y Thunderbird. De estas aplicaciones, recopila credenciales de inicio de sesión guardadas, cookies de sesión, datos de autocompletado y números de tarjetas de crédito almacenados.
Una vez completada la recopilación, los datos extraídos se escriben en un archivo de registro en la máquina de la víctima y luego se envían a un servidor controlado por los atacantes a través de una conexión HTTP. El stealer admite un uso repetido en múltiples equipos mediante una interfaz de línea de comandos, lo que sugiere que se utiliza en operaciones dirigidas y controladas por un operador.
La campaña documentada por Arctic Wolf explotó CVE-2026-35616, una vulnerabilidad en FortiClient EMS que proporcionaba acceso no autenticado a la API de gestión del servidor. Los atacantes utilizaron ese punto de apoyo para modificar las configuraciones de perfiles VPN, inyectando comandos maliciosos de PowerShell que se ejecutaban automáticamente en todos los endpoints gestionados cuando se establecía una conexión VPN.
Cómo EKZ Stealer roba datos del navegador
Los navegadores basados en Chromium cifran las contraseñas guardadas utilizando una protección vinculada a la cuenta de usuario de Windows. EKZ Stealer evita esto copiándose a sí mismo en la carpeta de la aplicación del navegador y relanzándose desde esa ubicación, lo que hace que el navegador lo trate como un proceso interno de confianza.
Desde esa posición, invoca una función privilegiada del navegador para obtener la clave de descifrado AES-256 utilizada para proteger las credenciales almacenadas. Esto permite al stealer leer cada contraseña guardada en el navegador sin ninguna advertencia para el usuario.
Evasión de defensas
EKZ Stealer toma medidas para dificultar el análisis y eliminar rastros de la infección. Su ejecutable tiene una marca de tiempo de compilación establecida en cero, lo que elimina el marcador de fecha que normalmente utilizan los investigadores para determinar cuándo se compiló un programa.
El malware también se distribuyó mediante scripts de PowerShell codificados en Base64, que pueden eludir filtros que analizan comandos maliciosos reconocibles. Una vez completada la exfiltración, el stealer elimina el archivo de carga útil y limpia las entradas de registro relacionadas, borrando las evidencias de la infección.
| Nombre | EKZ infostealer |
| Tipo De Amenaza | Ladrón de información, Troyano, Virus de robo de contraseñas |
| Nombres De Detección | Avast (Win64:MalwareX-gen [Misc]), AVG (Win64:MalwareX-gen [Misc]), Combo Cleaner (Trojan.PasswordStealer.GenericKDS.6861), Kaspersky (Trojan-PSW.Win64.Agent.aea), Microsoft (Trojan:Win32/Qwexlafiba!rfn), Lista Completa (VirusTotal) |
| Síntomas | Los stealers están diseñados para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares de forma clara en una máquina infectada. |
| Métodos De Distribución | Vulnerabilidad de software explotada (CVE-2026-35616), scripts maliciosos de PowerShell, actualización de software falsa (disfrazada como un parche legítimo de Fortinet). |
| Daños | Contraseñas e información bancaria robadas, robo de identidad, secuestro de cuentas, infecciones adicionales, pérdidas monetarias. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
Las víctimas de EKZ Stealer pueden perder todas las credenciales almacenadas en sus navegadores, incluyendo contraseñas de cuentas, datos de tarjetas de pago y cookies de sesión que pueden permitir a los atacantes acceder a las cuentas sin necesitar la contraseña original. Cualquier cuenta activa en el navegador en el momento de la infección debe considerarse potencialmente comprometida.
La rutina de limpieza del stealer dificulta confirmar una infección después del hecho, y las organizaciones afectadas por la vulnerabilidad de FortiClient EMS pueden haberlo tenido desplegado en muchos dispositivos a la vez. EKZ Stealer debe eliminarse del sistema de inmediato.
Más ejemplos de stealers son DebugElevator, Evolution y Needle.
¿Cómo se infiltró EKZ Stealer en mi ordenador?
Según Arctic Wolf, la campaña de EKZ Stealer explotó CVE-2026-35616, una vulnerabilidad en FortiClient EMS de Fortinet que permitía acceso no autenticado a la API de gestión del servidor. Los atacantes obtuvieron control administrativo y modificaron la configuración de los perfiles VPN para inyectar scripts maliciosos de PowerShell en la configuración.
Estos scripts se ejecutaban automáticamente en todos los endpoints gestionados cada vez que se establecía una conexión VPN. La carga útil se llamaba FortiEndpoint_Patch.exe, y para la mayoría de usuarios y administradores parecería una actualización de software rutinaria de Fortinet en lugar de malware.
Fuera de esta campaña específica, los stealers comúnmente llegan a los usuarios a través de correos electrónicos de phishing, sitios falsos de descarga de software, software pirateado y cracks de software.
¿Cómo evitar la instalación de malware?
Mantenga todo el software actualizado, incluyendo las herramientas de gestión de redes y los clientes VPN. Las vulnerabilidades como CVE-2026-35616 son parcheadas por los proveedores una vez descubiertas, pero los dispositivos deben recibir y aplicar realmente esos parches para estar protegidos. Descargue las actualizaciones de software únicamente de los sitios web oficiales del proveedor.
Sea precavido con los correos electrónicos inesperados que contengan archivos adjuntos o enlaces, incluso cuando parezcan provenir de una fuente de confianza. Utilice software antivirus de buena reputación y realice análisis regulares en busca de amenazas. Si cree que su ordenador ya está infectado, le recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.
Eliminación automática instantánea de malware:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:
DESCARGAR Combo CleanerSi decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
Menú rápido:
- ¿Qué es EKZ Stealer?
- PASO 1. Eliminación manual del malware EKZ Stealer.
- PASO 2. Compruebe si su ordenador está limpio.
¿Cómo eliminar malware manualmente?
La eliminación manual de malware es una tarea complicada - normalmente es mejor permitir que los programas antivirus o antimalware lo hagan automáticamente. Para eliminar este malware recomendamos usar Combo Cleaner Antivirus para Windows.
Si desea eliminar el malware manualmente, el primer paso es identificar el nombre del malware que está intentando eliminar. A continuación se muestra un ejemplo de un programa sospechoso ejecutándose en el ordenador de un usuario:
Si revisó la lista de programas que se ejecutan en su ordenador, por ejemplo, usando el administrador de tareas, e identificó un programa que parece sospechoso, debe continuar con estos pasos:
Descargue un programa llamado Autoruns. Este programa muestra las aplicaciones de inicio automático, el Registro y las ubicaciones del sistema de archivos:
Reinicie su ordenador en Modo seguro:
Usuarios de Windows XP y Windows 7: Inicie su ordenador en Modo seguro. Haga clic en Inicio, haga clic en Apagar, haga clic en Reiniciar, haga clic en Aceptar. Durante el proceso de inicio del ordenador, presione la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, y luego seleccione Modo seguro con funciones de red de la lista.
Vídeo que muestra cómo iniciar Windows 7 en «Modo seguro con funciones de red»:
Usuarios de Windows 8: Inicie Windows 8 en Modo seguro con funciones de red - Vaya a la pantalla de Inicio de Windows 8, escriba Avanzado, en los resultados de búsqueda seleccione Configuración. Haga clic en Opciones de inicio avanzadas, en la ventana abierta de «Configuración general del PC», seleccione Inicio avanzado.
Haga clic en el botón «Reiniciar ahora». Su ordenador se reiniciará en el «menú de opciones de Inicio avanzado». Haga clic en el botón «Solucionar problemas» y luego haga clic en el botón «Opciones avanzadas». En la pantalla de opciones avanzadas, haga clic en «Configuración de inicio».
Haga clic en el botón «Reiniciar». Su PC se reiniciará en la pantalla de Configuración de inicio. Presione F5 para arrancar en Modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 8 en «Modo seguro con funciones de red»:
Usuarios de Windows 10: Haga clic en el logotipo de Windows y seleccione el icono de Encendido. En el menú abierto, haga clic en «Reiniciar» mientras mantiene presionada la tecla «Shift» en su teclado. En la ventana «elegir una opción», haga clic en «Solucionar problemas», luego seleccione «Opciones avanzadas».
En el menú de opciones avanzadas, seleccione «Configuración de inicio» y haga clic en el botón «Reiniciar». En la siguiente ventana debe hacer clic en el botón «F5» en su teclado. Esto reiniciará su sistema operativo en modo seguro con funciones de red.
Vídeo que muestra cómo iniciar Windows 10 en «Modo seguro con funciones de red»:
Extraiga el archivo descargado y ejecute el archivo Autoruns.exe.
En la aplicación Autoruns, haga clic en «Options» en la parte superior y desmarque las opciones «Hide Empty Locations» y «Hide Windows Entries». Después de este procedimiento, haga clic en el icono «Refresh».
Revise la lista proporcionada por la aplicación Autoruns y localice el archivo de malware que desea eliminar.
Debe anotar su ruta completa y nombre. Tenga en cuenta que algunos malware ocultan nombres de procesos bajo nombres de procesos legítimos de Windows. En esta etapa, es muy importante evitar eliminar archivos del sistema. Después de localizar el programa sospechoso que desea eliminar, haga clic derecho con el ratón sobre su nombre y elija «Delete».
Después de eliminar el malware a través de la aplicación Autoruns (esto asegura que el malware no se ejecutará automáticamente en el próximo inicio del sistema), debe buscar el nombre del malware en su ordenador. Asegúrese de habilitar los archivos y carpetas ocultos antes de continuar. Si encuentra el nombre de archivo del malware, asegúrese de eliminarlo.
Reinicie su ordenador en modo normal. Seguir estos pasos debería eliminar cualquier malware de su ordenador. Tenga en cuenta que la eliminación manual de amenazas requiere habilidades informáticas avanzadas. Si no posee estas habilidades, deje la eliminación de malware a los programas antivirus y antimalware.
Es posible que estos pasos no funcionen con infecciones de malware avanzadas. Como siempre, es mejor prevenir la infección que intentar eliminar el malware después. Para mantener su ordenador seguro, instale las últimas actualizaciones del sistema operativo y use software antivirus. Para asegurarse de que su ordenador está libre de infecciones de malware, le recomendamos escanearlo con Combo Cleaner Antivirus para Windows.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware EKZ Stealer, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
El formateo elimina EKZ Stealer pero también borra todos los datos de la unidad. Ejecutar una herramienta de seguridad de buena reputación como Combo Cleaner es el primer paso recomendado; el formateo solo debe considerarse como último recurso.
¿Cuáles son los mayores problemas que puede causar el malware EKZ Stealer?
EKZ Stealer puede resultar en el robo de todas las contraseñas guardadas en el navegador, cookies de sesión y datos de tarjetas de pago. Esto puede llevar al secuestro de cuentas, robo de identidad y fraude financiero, especialmente si las credenciales robadas incluyen cuentas bancarias o de correo electrónico.
¿Cuál es el propósito del malware EKZ Stealer?
El propósito de EKZ Stealer es recopilar credenciales guardadas y datos sensibles de los navegadores web, incluyendo contraseñas, cookies, datos de autocompletado y detalles de tarjetas de pago, y enviar esa información a los atacantes para su explotación.
¿Cómo se infiltró el malware EKZ Stealer en mi ordenador?
Se observó que EKZ Stealer se propagaba a través de una campaña que explotó CVE-2026-35616, una vulnerabilidad de FortiClient EMS. Los atacantes inyectaron scripts maliciosos de PowerShell en las configuraciones de VPN, haciendo que el stealer se ejecutara automáticamente en los endpoints gestionados sin ninguna acción por parte del usuario.
¿Me protegerá Combo Cleaner del malware?
Sí. Combo Cleaner puede detectar y eliminar la mayoría del malware conocido, incluyendo los ladrones de información. Se recomienda ejecutar un análisis completo del sistema para asegurar que no se pase por alto ninguna amenaza y que el sistema esté completamente limpio.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión