Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias 5 campañas de malware activas en el primer trimestre de 2025
Noticias

5 campañas de malware activas en el primer trimestre de 2025

por Dragora
Escrito por Dragora

El primer trimestre de 2025 ha sido un campo de batalla en el mundo de la ciberseguridad. Los ciberdelincuentes continuaron lanzando nuevas campañas agresivas y refinando sus métodos de ataque.

A continuación se muestra una descripción general de cinco familias de malware notables, acompañadas de análisis realizados en entornos controlados.

NetSupport RAT explota la técnica ClickFix

A principios de 2025, los actores de amenazas comenzaron a explotar una técnica conocida como ClickFix para distribuir el troyano de acceso remoto (RAT) de NetSupport.

Este método consiste en inyectar páginas CAPTCHA falsas en sitios web comprometidos, lo que incita a los usuarios a ejecutar comandos maliciosos de PowerShell que descargan y ejecutan el RAT de NetSupport.

Una vez instalado, este RAT otorga a los atacantes un control total sobre el sistema de la víctima, lo que permite actividades como el monitoreo de pantalla en tiempo real, la manipulación de archivos y la ejecución de comandos arbitrarios.

Principales características técnicas de NetSupport RAT

  • Los atacantes pueden ver y controlar la pantalla de la víctima en tiempo real.
  • Carga, descarga, modifica y elimina archivos en el sistema infectado.
  • Ejecuta comandos del sistema y scripts de PowerShell de forma remota.
  • Captura el texto copiado, incluidas las contraseñas y los datos confidenciales.
  • Registra las pulsaciones de teclas del usuario para el robo de credenciales.
  • Inicia, detiene y modifica los procesos y servicios del sistema.
  • Se instala en carpetas de inicio, claves de registro o tareas programadas para sobrevivir a los reinicios.
  • Utiliza la inyección de procesos y la ofuscación de código para evadir la detección.
  • Mantiene una conexión sigilosa con los atacantes que utilizan tráfico cifrado.

Después de ejecutar la carga útil de NetSupport RAT dentro de ANY. En el Sandbox Interactivo de RUN, podemos ver varias actividades.

Archivo malicioso abierto dentro de ANY. EJECUTAR sandbox

Cuando NetSupport RAT infecta un sistema, establece inmediatamente una conexión con un servidor de comando y control (C2), lo que permite a los atacantes operar la máquina comprometida de forma remota.

Conexión CnC detectada por ANY. EJECUTAR sandbox

A través de esta conexión, los atacantes pueden ejecutar comandos del sistema, implementar malware adicional y modificar la configuración del sistema.

 

Equipa a tu equipo con CUALQUIERA. El sandbox interactivo de RUN para analizar malware ilimitado en tiempo real, descubrir amenazas más rápido y fortalecer sus defensas.

 

NetSupport RAT emplea múltiples tácticas, técnicas y procedimientos (TTP) para mantener la persistencia, evadir la detección y recopilar datos del sistema. Los TTP clave incluyen:

  • Persistencia y ejecución: Modifica las claves de inicio del registro, ejecuta scripts a través de wscript.exe.
  • Detección: lee el nombre del equipo, comprueba el idioma del sistema y accede a las variables de entorno.
  • Evasión de defensa y comunicación C2: Elimina ejecutables legítimos de Windows, crea objetos de conexión a Internet para control remoto.

Estas técnicas demuestran cómo NetSupport RAT establece el control mientras evita la detección, todos los cuales son visibles en ANY. Mapeo ATT&CK de RUN.

Principales TTP utilizados por NetSupport RAT

Lynx Ransomware

El grupo Lynx Ransomware-as-a-Service (RaaS) es conocido como una entidad altamente organizada, que ofrece un programa de afiliados estructurado y métodos de cifrado sólidos. Sobre la base del anterior ransomware INC, Lynx ha mejorado sus capacidades y ampliado su alcance, dirigiéndose a una amplia gama de industrias en varios países.

El panel de afiliados de Lynx permite a sus afiliados configurar perfiles de víctimas, generar muestras personalizadas de ransomware y administrar programas de fuga de datos dentro de una interfaz fácil de usar. Debido a su enfoque estructurado, se convierte en uno de los ransomware más accesibles, incluso para aquellos con conocimientos técnicos limitados.

Para incentivar la participación, Lynx ofrece a los afiliados una participación del 80% de las ganancias del rescate. El grupo mantiene un sitio de filtraciones donde se publican los datos robados si las víctimas no pagan el rescate.

Principales ataques de linces en Q1

En el primer trimestre de 2025, el grupo Lynx Ransomware-as-a-Service (RaaS) ha intensificado sus operaciones, apuntando a varias industrias con ataques sofisticados.

En concreto, en febrero de 2025, Lynx se atribuyó la responsabilidad de infringir Brown and Hurley, un destacado concesionario de camiones australiano. El grupo alegó el robo de aproximadamente 170 gigabytes de datos confidenciales, incluidos documentos de recursos humanos, contratos comerciales, información de clientes y registros financieros.

En enero de 2025, Lynx también violó Hunter Taubman Fischer & Li LLC, un bufete de abogados con sede en EE. UU. especializado en derecho corporativo y de valores.

Principales características técnicas del ransomware Lynx

  • Cifra todos los archivos de forma predeterminada, incluidas las unidades locales, los recursos compartidos de red y los medios extraíbles.
  • Configurable a través de RaaS para dirigirse a tipos de archivos, carpetas o extensiones específicos.
  • Roba datos confidenciales antes del cifrado, exfiltrando documentos, credenciales e información financiera.
  • Transfiere datos robados a través de canales cifrados, como HTTPS o protocolos de comunicación personalizados.
  • Elimina las instantáneas de volumen y deshabilita las funciones de recuperación de Windows para evitar la restauración.
  • Cierra las aplicaciones que pueden bloquear el cifrado mediante RestartManager.
  • Utiliza técnicas de volcado de credenciales para extraer contraseñas almacenadas de exploradores, el Administrador de credenciales de Windows y dispositivos en red.
  • Mantiene una conexión C2 con dominios basados en DGA y tráfico anónimo a través de Tor.
  • Detecta máquinas virtuales y espacios aislados, lo que altera el comportamiento para evadir el análisis.
  • Se ejecuta en la memoria sin escribir archivos en el disco, evitando la detección.

Podemos observar de primera mano el comportamiento de Lynx Ransomware en un entorno controlado. En el ANY. RUN análisis de sandbox, después de ejecutar la carga útil de Lynx, el sistema infectado sufre varios cambios notables.

El fondo del escritorio ha cambiado dentro de ANY. EJECUTAR sandbox

El fondo del escritorio se sustituye por una nota de rescate y los atacantes dejan una nota advirtiendo de que todos los datos han sido robados y encriptados. Se indica a las víctimas que descarguen Tor para ponerse en contacto con ellas.

Mensaje de ransomware dejado por los atacantes

El sandbox también detecta cómo Lynx cambia sistemáticamente el nombre de los archivos, añadiéndoles su extensión. Por ejemplo, C:\Users\admin\Desktop\academicroad.rtf se convierte en C:\Users\admin\Desktop\academicroad.rtf.LYNX.

Cambio de nombre de archivos con .lynx detectado por ANY. CORRER

Docenas de archivos en todo el sistema se modifican de esta manera, lo que confirma aún más su proceso de cifrado. Estas son solo algunas de las muchas acciones destructivas que Lynx lleva a cabo una vez dentro de un sistema comprometido.

Modificación de archivos por el ransomware Lynx

AsyncRAT: Aprovechar las cargas útiles de Python y los túneles de TryCloudflare

A principios de 2025, los investigadores de ciberseguridad descubrieron una sofisticada campaña de malware que implementaba AsyncRAT, un troyano de acceso remoto conocido por sus capacidades de comunicación asíncronas y eficientes.

Esta campaña destaca por el uso de cargas útiles basadas en Python y la explotación de los túneles de TryCloudflare para mejorar el sigilo y la persistencia.

Descripción general de la cadena de infección

El ataque se inicia con un correo electrónico de phishing que contiene una URL de Dropbox. Cuando los destinatarios hacen clic en el enlace, descargan un archivo ZIP que contiene un archivo de acceso directo (URL) de Internet.

Este archivo, a su vez, recupera un archivo de acceso directo de Windows (LNK) a través de una URL de TryCloudflare. Al ejecutar el archivo LNK, se desencadena una serie de scripts, PowerShell, JavaScript y scripts por lotes, que descargan y ejecutan una carga de Python.

Esta carga útil es responsable de implementar varias familias de malware, incluidas AsyncRAT, Venom RAT y XWorm.

Características técnicas de AsyncRAT

  • Permite a los atacantes ejecutar comandos, supervisar la actividad del usuario y gestionar archivos en el sistema comprometido.
  • Capaz de robar información confidencial, incluidas credenciales y datos personales.
  • Emplea técnicas para mantener el acceso a largo plazo, como la modificación de los registros del sistema y la utilización de carpetas de inicio.
  • Utiliza la ofuscación y el cifrado para evadir la detección por parte de las soluciones de seguridad.

Dentro de CUALQUIERA. En la sesión de análisis de RUN, podemos abrir la sección MalConf para revelar las configuraciones maliciosas utilizadas por AsyncRAT.

Configuraciones maliciosas analizadas dentro de un entorno controlado

Como podemos ver, AsyncRAT se conecta a masterpoldo02[.]kozow[.]com a través del puerto 7575, lo que permite a los atacantes remotos controlar las máquinas infectadas. El bloqueo de este dominio y la supervisión del tráfico a este puerto pueden ayudar a prevenir infecciones.

Además, AsyncRAT se instala en %AppData% para mezclarse con aplicaciones legítimas y utiliza un exclusión mutua (AsyncMutex_alosh) para evitar que se ejecuten varias instancias.

El malware también utiliza el cifrado AES con una clave codificada y sal, lo que dificulta que las herramientas de seguridad analicen sus comunicaciones.

Cifrado AES utilizado por AsyncRAT

Lumma Stealer: Distribución basada en GitHub

A principios de 2025, los expertos en ciberseguridad descubrieron una sofisticada campaña que involucraba a Lumma Stealer, un malware que roba información.

Los atacantes utilizaron la infraestructura de lanzamiento de GitHub para distribuir este malware, explotando la fiabilidad de la plataforma para eludir las medidas de seguridad.

Una vez ejecutado, Lumma Stealer inicia actividades maliciosas adicionales, incluida la descarga y ejecución de otras amenazas como SectopRAT, Vidar, Cobeacon y variantes adicionales de Lumma Stealer.

Características técnicas de Lumma Stealer

  • Distribuido a través de versiones de GitHub, aprovechando la infraestructura de confianza para evadir la detección de seguridad.
  • Roba credenciales del navegador, cookies, billeteras de criptomonedas e información del sistema.
  • Envía los datos robados a servidores remotos, lo que permite la exfiltración en tiempo real.
  • Puede descargar y ejecutar malware adicional, incluidos SectopRAT, Vidar y Cobeacon.
  • Utiliza modificaciones del Registro y entradas de inicio para mantener el acceso.
  • Detectable a través de herramientas de monitoreo de seguridad basadas en red, revelando patrones de comunicación maliciosos.
Lumma Stealer analizado dentro de ANY. EJECUTAR máquina virtual

Un examen detallado utilizando el ANY. RUN sandbox muestra el comportamiento de Lumma Stealer.

Tras la ejecución, el malware se conecta a su servidor de comando y control, lo que facilita la exfiltración de datos confidenciales. El análisis también revela la activación de reglas específicas de Suricata:

Regla de Suricata activada por Lumma Stealer

La sesión de análisis también revela cómo Lumma roba credenciales de los navegadores web y exfiltra datos personales:

Robo de credenciales y datos personales por parte de Lumma Stealer

InvisibleFerret: la amenaza silenciosa que acecha en las falsas ofertas de trabajo

En una ola de ataques de ingeniería social, los ciberdelincuentes han aprovechado InvisibleFerret, un malware sigiloso basado en Python, para comprometer a víctimas desprevenidas.

Disfrazado de software legítimo en procesos de entrevistas de trabajo falsas, este malware se ha utilizado activamente en la campaña de entrevistas falsas, en la que los atacantes se hacen pasar por reclutadores para engañar a los profesionales para que descarguen herramientas maliciosas.

Características técnicas de InvisibleFerret

  • El malware emplea scripts de Python desorganizados y ofuscados, lo que dificulta el análisis y la detección.
  • InvisibleFerret busca activamente y exfiltra información confidencial, incluido el código fuente, las billeteras de criptomonedas y los archivos personales.
  • A menudo entregado como una carga útil secundaria por otro malware llamado BeaverTail, que es un ladrón y cargador de información ofuscado basado en JavaScript.
  • El malware establece persistencia en el sistema infectado, lo que garantiza el acceso y el control continuos.

Un elemento clave del ataque InvisibleFerret es el despliegue de BeaverTail, un módulo NPM malicioso que ofrece un entorno Python portátil (p.zip) para ejecutar el malware.

Actuando como la primera etapa de una cadena de ataque de múltiples capas, BeaverTail configura InvisibleFerret, una puerta trasera sigilosa con mecanismos avanzados de ofuscación y persistencia, lo que dificulta la detección.

Al enviar InvisibleFerret a ANY. Sandbox Interactivo de RUN, podemos analizar su comportamiento en tiempo real:

Comportamiento de InvisibleFerret analizado por ANY. EJECUTAR sandbox

El malware comienza recopilando información del sistema, como la versión del sistema operativo, el nombre de host, el nombre de usuario y la geolocalización, utilizando servicios como ip-api.com, un método que también utilizan los drenadores de criptomonedas.

Información exfiltrada analizada dentro de ANY. EJECUTAR sandbox

Las solicitudes maliciosas se mezclan con el tráfico normal, lo que dificulta la detección. CUALQUIER. La interfaz de RUN resalta estas actividades, mostrando las solicitudes de red en naranja y rojo debajo de la máquina virtual.

Las solicitudes maliciosas se mezclan con el tráfico legítimo, todo dirigido por el mismo script

Haciendo clic en el botón ATT&CK en ANY. El sandbox de RUN proporciona un desglose de los TTP de InvisibleFerret. Una detección clave es T1016 («System Network Configuration Discovery»), que destaca cómo el malware recopila datos de geolocalización y del sistema.

Principales TTPs utilizados por InvisibleFerret

El primer trimestre de 2025 ha estado lleno de amenazas cibernéticas sigilosas y agresivas, desde operaciones de ransomware hasta ladrones de datos silenciosos. Pero los atacantes no tienen que ganar.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Microsoft Copilot eliminado por error en Windows 10...

Vulnerabilidad crítica en Apache Tomcat: CVE-2025-24813

ASUS revoluciona el mercado con monitores que purifican...

Google Gemini reemplaza a Assistant

Mozilla insta a actualizar Firefox para evitar problemas

Facebook: Monetización para creadores

DeepSeek lanza 3FS

Google: encontrar mi dispositivo ahora permite rastrear personas

Steam Guard: La Prueba Definitiva de Seguridad en...

Microsoft advierte sobre campaña de phishing que suplanta...

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!