El primer trimestre de 2025 ha sido un campo de batalla en el mundo de la ciberseguridad. Los ciberdelincuentes continuaron lanzando nuevas campañas agresivas y refinando sus métodos de ataque.

A continuación se muestra una descripción general de cinco familias de malware notables.

1. NetSupport RAT explota la técnica ClickFix

A principios de 2025, los actores de amenazas comenzaron a explotar una técnica conocida como ClickFix para distribuir el troyano de acceso remoto (RAT) de NetSupport.

Este método consiste en inyectar páginas CAPTCHA falsas en sitios web comprometidos, lo que incita a los usuarios a ejecutar comandos maliciosos de PowerShell que descargan y ejecutan el RAT de NetSupport.

Una vez instalado, este RAT otorga a los atacantes un control total sobre el sistema de la víctima, lo que permite actividades como el monitoreo de pantalla en tiempo real, la manipulación de archivos y la ejecución de comandos arbitrarios.

Principales características técnicas de NetSupport RAT

  • Los atacantes pueden ver y controlar la pantalla de la víctima en tiempo real.
  • Carga, descarga, modifica y elimina archivos en el sistema infectado.
  • Ejecuta comandos del sistema y scripts de PowerShell de forma remota.
  • Captura el texto copiado, incluidas las contraseñas y los datos confidenciales.
  • Registra las pulsaciones de teclas del usuario para el robo de credenciales.
  • Inicia, detiene y modifica los procesos y servicios del sistema.
  • Se instala en carpetas de inicio, claves de registro o tareas programadas para sobrevivir a los reinicios.
  • Utiliza la inyección de procesos y la ofuscación de código para evadir la detección.
  • Mantiene una conexión sigilosa con los atacantes que utilizan tráfico cifrado.

NetSupport RAT emplea múltiples tácticas, técnicas y procedimientos (TTP) para mantener la persistencia, evadir la detección y recopilar datos del sistema. Los TTP clave incluyen:

  • Persistencia y ejecución: Modifica las claves de inicio del registro, ejecuta scripts a través de wscript.exe.
  • Detección: lee el nombre del equipo, comprueba el idioma del sistema y accede a las variables de entorno.
  • Evasión de defensa y comunicación C2: Elimina ejecutables legítimos de Windows, crea objetos de conexión a Internet para control remoto.

2. Lynx Ransomware

El grupo Lynx Ransomware-as-a-Service (RaaS) es conocido como una entidad altamente organizada, que ofrece un programa de afiliados estructurado y métodos de cifrado sólidos. Sobre la base del anterior ransomware INC, Lynx ha mejorado sus capacidades y ampliado su alcance, dirigiéndose a una amplia gama de industrias en varios países.

El panel de afiliados de Lynx permite a sus afiliados configurar perfiles de víctimas, generar muestras personalizadas de ransomware y administrar programas de fuga de datos dentro de una interfaz fácil de usar. Debido a su enfoque estructurado, se convierte en uno de los ransomware más accesibles, incluso para aquellos con conocimientos técnicos limitados.

Para incentivar la participación, Lynx ofrece a los afiliados una participación del 80% de las ganancias del rescate. El grupo mantiene un sitio de filtraciones donde se publican los datos robados si las víctimas no pagan el rescate.

Principales ataques de linces en Q1

En el primer trimestre de 2025, el grupo Lynx Ransomware-as-a-Service (RaaS) ha intensificado sus operaciones, apuntando a varias industrias con ataques sofisticados.

En concreto, en febrero de 2025, Lynx se atribuyó la responsabilidad de infringir Brown and Hurley, un destacado concesionario de camiones australiano. El grupo alegó el robo de aproximadamente 170 gigabytes de datos confidenciales, incluidos documentos de recursos humanos, contratos comerciales, información de clientes y registros financieros.

En enero de 2025, Lynx también violó Hunter Taubman Fischer & Li LLC, un bufete de abogados con sede en EE. UU. especializado en derecho corporativo y de valores.

Principales características técnicas del ransomware Lynx

  • Cifra todos los archivos de forma predeterminada, incluidas las unidades locales, los recursos compartidos de red y los medios extraíbles.
  • Configurable a través de RaaS para dirigirse a tipos de archivos, carpetas o extensiones específicos.
  • Roba datos confidenciales antes del cifrado, exfiltrando documentos, credenciales e información financiera.
  • Transfiere datos robados a través de canales cifrados, como HTTPS o protocolos de comunicación personalizados.
  • Elimina las instantáneas de volumen y deshabilita las funciones de recuperación de Windows para evitar la restauración.
  • Cierra las aplicaciones que pueden bloquear el cifrado mediante RestartManager.
  • Utiliza técnicas de volcado de credenciales para extraer contraseñas almacenadas de exploradores, el Administrador de credenciales de Windows y dispositivos en red.
  • Mantiene una conexión C2 con dominios basados en DGA y tráfico anónimo a través de Tor.
  • Detecta máquinas virtuales y espacios aislados, lo que altera el comportamiento para evadir el análisis.
  • Se ejecuta en la memoria sin escribir archivos en el disco, evitando la detección.

3. AsyncRAT: Aprovechar las cargas útiles de Python y los túneles de TryCloudflare

A principios de 2025, los investigadores de ciberseguridad descubrieron una sofisticada campaña de malware que implementaba AsyncRAT, un troyano de acceso remoto conocido por sus capacidades de comunicación asíncronas y eficientes.

Esta campaña destaca por el uso de cargas útiles basadas en Python y la explotación de los túneles de TryCloudflare para mejorar el sigilo y la persistencia.

Descripción general de la cadena de infección

El ataque se inicia con un correo electrónico de phishing que contiene una URL de Dropbox. Cuando los destinatarios hacen clic en el enlace, descargan un archivo ZIP que contiene un archivo de acceso directo (URL) de Internet.

Este archivo, a su vez, recupera un archivo de acceso directo de Windows (LNK) a través de una URL de TryCloudflare. Al ejecutar el archivo LNK, se desencadena una serie de scripts, PowerShell, JavaScript y scripts por lotes, que descargan y ejecutan una carga de Python.

Esta carga útil es responsable de implementar varias familias de malware, incluidas AsyncRAT, Venom RAT y XWorm.

Características técnicas de AsyncRAT

  • Permite a los atacantes ejecutar comandos, supervisar la actividad del usuario y gestionar archivos en el sistema comprometido.
  • Capaz de robar información confidencial, incluidas credenciales y datos personales.
  • Emplea técnicas para mantener el acceso a largo plazo, como la modificación de los registros del sistema y la utilización de carpetas de inicio.
  • Utiliza la ofuscación y el cifrado para evadir la detección por parte de las soluciones de seguridad.

4. Lumma Stealer: Distribución basada en GitHub

A principios de 2025, los expertos en ciberseguridad descubrieron una sofisticada campaña que involucraba a Lumma Stealer, un malware que roba información.

Los atacantes utilizaron la infraestructura de lanzamiento de GitHub para distribuir este malware, explotando la fiabilidad de la plataforma para eludir las medidas de seguridad.

Una vez ejecutado, Lumma Stealer inicia actividades maliciosas adicionales, incluida la descarga y ejecución de otras amenazas como SectopRAT, Vidar, Cobeacon y variantes adicionales de Lumma Stealer.

Características técnicas de Lumma Stealer

  • Distribuido a través de versiones de GitHub, aprovechando la infraestructura de confianza para evadir la detección de seguridad.
  • Roba credenciales del navegador, cookies, billeteras de criptomonedas e información del sistema.
  • Envía los datos robados a servidores remotos, lo que permite la exfiltración en tiempo real.
  • Puede descargar y ejecutar malware adicional, incluidos SectopRAT, Vidar y Cobeacon.
  • Utiliza modificaciones del Registro y entradas de inicio para mantener el acceso.
  • Detectable a través de herramientas de monitoreo de seguridad basadas en red, revelando patrones de comunicación maliciosos.

InvisibleFerret: la amenaza silenciosa que acecha en las falsas ofertas de trabajo

En una ola de ataques de ingeniería social, los ciberdelincuentes han aprovechado InvisibleFerret, un malware sigiloso basado en Python, para comprometer a víctimas desprevenidas.

Disfrazado de software legítimo en procesos de entrevistas de trabajo falsas, este malware se ha utilizado activamente en la campaña de entrevistas falsas, en la que los atacantes se hacen pasar por reclutadores para engañar a los profesionales para que descarguen herramientas maliciosas.

Características técnicas de InvisibleFerret

  • El malware emplea scripts de Python desorganizados y ofuscados, lo que dificulta el análisis y la detección.
  • InvisibleFerret busca activamente y exfiltra información confidencial, incluido el código fuente, las billeteras de criptomonedas y los archivos personales.
  • A menudo entregado como una carga útil secundaria por otro malware llamado BeaverTail, que es un ladrón y cargador de información ofuscado basado en JavaScript.
  • El malware establece persistencia en el sistema infectado, lo que garantiza el acceso y el control continuos.

El primer trimestre de 2025 ha estado lleno de amenazas cibernéticas sigilosas y agresivas, desde operaciones de ransomware hasta ladrones de datos silenciosos. Pero los atacantes no tienen que ganar.

Fuente y redacción: underc0de.org

Compartir