TROX
TROX es un malware del tipo stealer (ladrón de información) que ha estado activo desde al menos 2024, diseñado para robar datos confidenciales de sistemas comprometidos, incluyendo credenciales almacenadas en navegadores, datos financieros, información de criptomonedas, y sesiones de aplicaciones como Discord y Telegram. Este malware se distribuye como un servicio (Malware-as-a-Service, MaaS), lo que permite que múltiples actores lo utilicen para ejecutar campañas maliciosas sin necesidad de desarrollarlo por sí mismos. Su código está escrito en múltiples lenguajes de programación, emplea técnicas de ofuscación y código basura para dificultar su análisis, y se comunica mediante servicios como Telegram y Gofile para exfiltrar la información robada.
TROX ha sido observado en campañas de correo electrónico malicioso que utilizan señuelos relacionados con deudas y procesos judiciales falsos. Las víctimas suelen ser engañadas para que descarguen ejecutables disfrazados de documentos legales legítimos desde plataformas como GitHub u otros alojamientos similares. Si bien inicialmente se promocionó para el robo de datos a usuarios domésticos, también ha sido utilizado en ataques dirigidos a organizaciones de sectores como ciberseguridad, energía y educación. Su comportamiento sigiloso permite que permanezca oculto en los sistemas infectados, sin mostrar síntomas evidentes para la víctima.
Una vez ejecutado, TROX realiza una infección por fases hasta desplegar su carga útil, que recolecta datos de navegadores, cookies, formularios de autocompletado y billeteras de criptomonedas. La amenaza que representa este stealer no se limita al robo de información personal: también puede permitir accesos no autorizados a cuentas, pérdidas financieras directas, robo de identidad, y formar parte de campañas más amplias que incluyan la instalación de otros tipos de malware como ransomware o troyanos de acceso remoto.
Funcionamiento
El funcionamiento técnico del TROX Stealer puede analizarse en varias fases: desde su distribución inicial hasta la exfiltración de la información sustraída. A continuación se detalla su cadena operativa con base en observaciones de campañas reales y análisis de muestras:
1. Fase de Distribución (Delivery)
TROX se propaga principalmente mediante campañas de phishing por correo electrónico. Los mensajes maliciosos utilizan señuelos de ingeniería social, normalmente con temática de deudas, facturas pendientes o amenazas legales. Estos correos incluyen archivos adjuntos o enlaces que conducen a la descarga de un archivo ejecutable (comúnmente desde plataformas como GitHub, aunque también se han identificado otras infraestructuras de alojamiento).
El ejecutable descargado no es directamente el stealer, sino un dropper que contiene o descarga componentes adicionales. Puede venir empaquetado como .exe, .zip, .rar, o como archivos ofimáticos con macros maliciosas o JavaScript ofuscado.
2. Fase de Evasión y Persistencia
Una vez ejecutado el dropper:
- Se activa una serie de técnicas antianálisis:
- Multilenguaje: Utiliza varios lenguajes (posiblemente C++, .NET, Python embebido, entre otros) para aumentar la complejidad y dificultar el análisis estático.
- Code junk / obfuscation: Inyecta grandes cantidades de código basura, cifrado personalizado y técnicas de empaquetado para evitar ser detectado por motores antivirus.
- Detección de sandbox o entornos virtuales: TROX evalúa si se encuentra en un entorno controlado (como sandbox, VirtualBox o VMware) y, de ser así, puede abortar su ejecución.
- Persistencia: En algunos casos, crea claves en el registro de Windows (
HKCU\Software\Microsoft\Windows\CurrentVersion\Run) o coloca accesos directos en el directorio de inicio (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) para asegurar su ejecución tras cada reinicio.
3. Fase de Recolección de Información
Una vez establecida la persistencia y evadidos los controles defensivos, TROX ejecuta su función principal: robo de datos sensibles, realizando scraping directo de archivos, procesos activos y bases de datos locales.
Accede a las bases de datos SQLite, archivos de configuración y almacenamiento seguro de navegadores como Chrome, Firefox, Edge, Brave, Opera, etc. Extrae:
- Credenciales guardadas (usuario y contraseña).
- Cookies de sesión.
- Información de autocompletado.
- Datos de tarjetas de crédito/débito (si están almacenados).
- Historial de navegación.
b. Aplicaciones de mensajería y plataformas sociales
- Discord: Extrae tokens de sesión desde rutas como
%APPDATA%\Discord\Local Storage\leveldb\. - Telegram: Busca archivos de sesión en
%APPDATA%\Telegram Desktop\tdata\.
c. Billeteras de criptomonedas
Escanea directorios conocidos de carteras locales (como Exodus, Atomic, Electrum, entre otros) y extrae archivos de claves, configuraciones o wallets.db. Algunas variantes implementan técnicas específicas para extraer frases semilla o claves privadas.
d. Sistemas y Configuraciones
- Identificación del sistema operativo, arquitectura, usuario actual y nombre del host.
- Toma de capturas de pantalla (
screenshot) para obtener una visión del entorno del usuario.
4. Fase de Exfiltración
La información recopilada es comprimida (por ejemplo, en .zip o .7z) y cifrada opcionalmente antes de ser enviada a servidores controlados por el atacante.
Canales de exfiltración observados:
- Telegram Bot API: Envía la información a través de bots configurados por los operadores.
- Gofile.io: Utiliza esta plataforma de almacenamiento para subir los archivos robados mediante solicitudes HTTP POST.
- En versiones más sofisticadas, puede usar WebSockets, HTTP POSTs cifrados, o incluso integraciones con pastebins privados.
5. Fase Post-Infección
TROX puede incluir funciones secundarias o ser utilizado como parte de una cadena de infección más amplia, por ejemplo:
- Descarga de payloads adicionales: RATs, ransomware o rootkits.
- Conexión a botnets: el sistema infectado puede integrarse en una botnet para control remoto o futuras campañas.
- Actualización automática: el malware puede conectarse a un C2 para descargar nuevas versiones con capacidades ampliadas.
Impacto y conscuencias
El impacto técnico y las consecuencias del TROX Stealer pueden entenderse mejor si se desglosan en tres niveles: afectación al sistema comprometido, exposición de datos sensibles, y consecuencias operativas y estratégicas para individuos y organizaciones. A continuación, se presenta un análisis técnico extenso:
🧨 IMPACTO TÉCNICO DE TROX STEALER
1. Compromiso de confidencialidad de la información
El objetivo principal de TROX es recolectar datos confidenciales sin ser detectado. Esto genera un quiebre total de la confidencialidad de la información almacenada localmente, ya que puede extraer:
- Credenciales de acceso a servicios: Incluye correos electrónicos, redes sociales, VPNs, portales bancarios y sistemas corporativos.
- Cookies de sesión: Permiten al atacante acceder directamente a plataformas web sin necesidad de autenticarse con usuario/contraseña.
- Tokens de autenticación persistente: Especialmente peligrosos en plataformas como Discord, Slack, o servicios con API personalizadas.
- Frases semilla y claves privadas de wallets: Esto puede conducir a robo inmediato de fondos de criptomonedas sin posibilidad de recuperación.
2. Persistencia del atacante en el sistema
TROX puede establecer persistencia mediante:
- Claves de registro (
RunyRunOnce). - Colocación de ejecutables en carpetas de inicio automático.
- Técnicas de living-off-the-land binaries (LOLBins) para ejecutar payloads sin dejar huella evidente.
Esto permite que el atacante tenga acceso sostenido al sistema, incluso tras reinicios, y puede convertirse en un punto de entrada para futuras infecciones.
3. Escalada de privilegios lateral o vertical (secundaria)
Aunque TROX no incluye funciones nativas para escalar privilegios, al obtener credenciales administrativas o tokens de autenticación privilegiados, habilita:
- Acceso lateral a otros sistemas dentro de una red local o corporativa.
- Uso de cuentas robadas para movimientos laterales en entornos Active Directory.
- Configuración de puertas traseras personalizadas para establecer canales C2 duraderos.
💥 CONSECUENCIAS PARA USUARIOS Y ORGANIZACIONES
1. Robo de identidad y suplantación
La exposición de contraseñas, tokens, y datos personales puede facilitar:
- Usurpación de cuentas bancarias, redes sociales y correos electrónicos.
- Distribución de malware adicional desde cuentas legítimas (por ejemplo, envío de enlaces maliciosos desde una cuenta de Instagram robada).
- Fraude financiero y operaciones en nombre del afectado.
2. Filtración de datos corporativos
En entornos empresariales, TROX puede acceder a:
- Paneles administrativos internos.
- Dashboards de servicios en la nube (como AWS, Azure, Google Cloud).
- Documentos sensibles almacenados en navegadores o en carpetas locales.
Esto puede derivar en:
- Violaciones de cumplimiento (GDPR, HIPAA, ISO/IEC 27001, etc.).
- Impacto en la reputación de la organización.
- Demandas legales en caso de exposición de datos de terceros.
3. Exposición financiera directa
- Robo de criptomonedas mediante el vaciado de wallets locales.
- Compras no autorizadas si se extraen datos de tarjetas de crédito almacenadas.
- Acceso a servicios de pago como PayPal, Stripe o plataformas de e-commerce con sesiones activas robadas.
4. Posible incorporación a una botnet o cadena de infección
TROX puede ser una pieza inicial en un ataque más complejo, con consecuencias como:
- Instalación de ransomware posterior.
- Activación de puertas traseras (RATs) para control remoto.
- Inclusión del sistema en una botnet para campañas de spam, DDoS o minería.
🔐 IMPLICACIONES EN SEGURIDAD DE LA INFORMACIÓN
1. Requiere respuesta a incidentes inmediata
Una infección por TROX exige acciones como:
- Rotación de contraseñas inmediatamente después del incidente.
- Cierre de sesiones activas en todas las plataformas donde se haya iniciado sesión.
- Revisión y eliminación de claves API, tokens de acceso y certificados comprometidos.
2. Alta evasión de controles de seguridad
TROX emplea técnicas avanzadas para evitar:
- Detección por antivirus tradicionales.
- Análisis en entornos sandbox o virtualizados.
- Identificación por EDR (Endpoint Detection & Response) si no está configurado adecuadamente.
Esto significa que puede pasar días o semanas sin ser detectado, ampliando su impacto.
🎯 RESUMEN DEL IMPACTO DE TROX STEALER
| Ámbito | Impacto |
|---|---|
| Usuarios individuales | Robo de contraseñas, criptomonedas, pérdida de cuentas, fraude financiero. |
| Empresas | Filtración de datos sensibles, compromiso de infraestructura, sanciones regulatorias. |
| Infraestructura TI | Persistencia de malware, exfiltración sigilosa, potencial pivoting interno. |
| Legal / Reputacional | Pérdida de confianza, acciones legales, multas por incumplimiento. |
| Ciberseguridad | Evasión de herramientas de defensa, necesidad de análisis forense profundo. |
Origen y motivación
TROX Stealer tiene su origen en el ecosistema del cibercrimen como una herramienta desarrollada y distribuida principalmente en foros clandestinos de habla rusa y canales de Telegram, orientada al robo masivo de información sensible con fines financieros. Su motivación radica en la obtención de beneficios económicos mediante la venta de credenciales, accesos a cuentas bancarias, datos de criptomonedas y perfiles comprometidos en mercados ilegales, así como su utilización en campañas más amplias de espionaje, fraude y monetización indirecta a través de accesos privilegiados a sistemas corporativos.