2024 tuvo una buena cantidad de ataques cibernéticos de alto perfil, y empresas tan grandes como Dell y TicketMaster fueron víctimas de violaciones de datos y otros compromisos de infraestructura. En 2025, esta tendencia continuará. Por lo tanto, para estar preparada para cualquier tipo de ataque de malware, cada organización necesita conocer de antemano a su ciberenemigo. Aquí hay 5 familias de malware comunes que puede comenzar a prepararse para contrarrestar ahora mismo.
lumma
Lumma es un malware ampliamente disponible diseñado para robar información confidencial. Se vende abiertamente en la Dark Web desde 2022. Este malware puede recopilar y filtrar de forma eficaz datos de aplicaciones específicas, incluidas credenciales de inicio de sesión, información financiera y datos personales.
Lumma se actualiza periódicamente para mejorar sus capacidades. Puede registrar información detallada de sistemas comprometidos, como el historial de navegación y los datos de la billetera de criptomonedas. Puede usarse para instalar otro software malicioso en dispositivos infectados. En 2024, Lumma se distribuyó a través de varios métodos, incluidas páginas CAPTCHA falsas, torrents y correos electrónicos de phishing dirigidos.
Análisis de un ataque Lumma
El análisis proactivo de archivos y URL sospechosos dentro de un entorno sandbox puede ayudarle eficazmente a prevenir la infección por Lumma.
Veamos cómo puedes hacerlo usando La zona de pruebas basada en la nube de ANY.RUN. No sólo ofrece veredictos definitivos sobre malware y phishing junto con indicadores procesables, sino que también permite la interacción en tiempo real con la amenaza y el sistema.
Echa un vistazo a este análisis de un ataque Lumma.
 |
| ANY.RUN te permite abrir archivos manualmente y ejecutar ejecutables |
Comienza con un archivo que contiene un ejecutable. Una vez que iniciamos el archivo .exe, el sandbox registra automáticamente todos los procesos y actividades de la red, mostrando las acciones de Lumma.
 |
| Suricata IDS nos informa sobre una conexión maliciosa al servidor C2 de Lumma |
Se conecta a su servidor de comando y control (C2).
 |
| Proceso malicioso responsable de robar datos del sistema. |
A continuación, comienza a recopilar y extraer datos de la máquina.
 |
| Puede utilizar los IOC extraídos por el sandbox para mejorar sus sistemas de detección. |
Después de finalizar el análisis, podemos exportar un informe sobre esta muestra, que presenta todos los indicadores importantes de compromiso (IOC) y TTP que pueden usarse para enriquecer las defensas contra posibles ataques de Lumma en su organización.
Xgusano
XWorm es un programa malicioso que proporciona a los ciberdelincuentes control remoto de los ordenadores infectados. Apareció por primera vez en julio de 2022 y puede recopilar una amplia gama de información confidencial, incluidos detalles financieros, historial de navegación, contraseñas guardadas y datos de billeteras de criptomonedas.
XWorm permite a los atacantes monitorear las actividades de las víctimas rastreando las pulsaciones de teclas, capturando imágenes de cámaras web, escuchando entradas de audio, escaneando conexiones de red y viendo ventanas abiertas. También puede acceder y manipular el portapapeles de la computadora, potencialmente robando credenciales de billetera de criptomonedas.
En 2024, XWorm estuvo involucrado en muchos ataques a gran escala, incluidos aquellos que explotaron los túneles de CloudFlare y los certificados digitales legítimos.
Análisis de un ataque XWorm
 |
| Los correos electrónicos de phishing suelen ser la etapa inicial de los ataques de XWorm. |
En este ataquepodemos ver el correo electrónico de phishing original, que incluye un enlace a una unidad de Google.
 |
| Una página de Google Drive con un enlace de descarga a un archivo malicioso |
Una vez que seguimos el enlace, se nos ofrece descargar un archivo que está protegido con una contraseña.
 |
| Archivo malicioso abierto con un archivo .vbs |
La contraseña se puede encontrar en el correo electrónico. Después de ingresarlo, podemos acceder a un script .vbs dentro del archivo .zip.
 |
| XWorm usa MSBuild.exe para persistir en el sistema |
Tan pronto como iniciamos el script, el sandbox detecta instantáneamente actividades maliciosas, lo que eventualmente conduce a la implementación de XWorm en la máquina.
asíncrono
AsyncRAT es otro troyano de acceso remoto de la lista. Visto por primera vez en 2019, inicialmente se difundió a través de correos electrónicos no deseados, a menudo aprovechando la pandemia de COVID-19 como señuelo. Desde entonces, el malware ha ganado popularidad y se ha utilizado en diversos ciberataques.
AsyncRAT ha evolucionado con el tiempo para incluir una amplia gama de capacidades maliciosas. Puede registrar en secreto la actividad de la pantalla de una víctima, registrar las pulsaciones de teclas, instalar malware adicional, robar archivos, mantener una presencia persistente en los sistemas infectados, desactivar el software de seguridad y lanzar ataques que abruman los sitios web específicos.
En 2024, AsyncRAT seguía siendo una amenaza importante, a menudo disfrazada de software pirateado. También fue una de las primeras familias de malware que se distribuyó como parte de ataques complejos que involucraban scripts generados por IA.
Análisis de un ataque AsyncRAT
 |
| El archivo inicial con un archivo .exe |
En esta sesión de análisispodemos ver otro archivo con un ejecutable malicioso en su interior.
 |
| Un proceso de PowerShell utilizado para descargar una carga útil |
La detonación del archivo inicia la cadena de ejecución de XWorm, que implica el uso de scripts de PowerShell para recuperar archivos adicionales necesarios para facilitar la infección.
Una vez finalizado el análisis, el sandbox muestra el veredicto final sobre la muestra.
Remcos
Remcos es un malware que sus creadores han comercializado como una herramienta legítima de acceso remoto. Desde su lanzamiento en 2019, se ha utilizado en numerosos ataques para realizar una amplia gama de actividades maliciosas, incluido el robo de información confidencial, el control remoto del sistema, la grabación de pulsaciones de teclas, la captura de actividad de la pantalla, etc.
En 2024, las campañas para distribuir Remcos utilizaron técnicas como ataques basados en scripts, que a menudo comienzan con un VBScript que inicia un script de PowerShell para implementar el malware, y explotaron vulnerabilidades como CVE-2017-11882 aprovechando archivos XML maliciosos.
Análisis de un ataque Remcos
 |
| Correo electrónico de phishing abierto en el Sandbox interactivo de ANY.RUN |
En este ejemplonos encontramos con otro correo electrónico de phishing que incluye un archivo adjunto .zip y una contraseña.
 |
| Proceso cmd utilizado durante la cadena de infección. |
La carga útil final aprovecha el símbolo del sistema y los procesos del sistema Windows para cargar y ejecutar Remcos.
 |
| La matriz MITRE ATT&CK proporciona una visión completa de las técnicas del malware |
El sandbox ANY.RUN asigna toda la cadena de ataque a la matriz MITRE ATT&CK para mayor comodidad.
BloquearBit
LockBit es un ransomware dirigido principalmente a dispositivos Windows. Se considera una de las mayores amenazas de ransomware y representa una parte sustancial de todos los ataques de ransomware como servicio (RaaS). La naturaleza descentralizada del grupo LockBit le ha permitido comprometer a numerosas organizaciones de alto perfil en todo el mundo, incluido el Royal Mail del Reino Unido y los Laboratorios Aeroespaciales Nacionales de la India (en 2024).
Las fuerzas del orden han tomado medidas para combatir al grupo LockBit, lo que ha llevado al arresto de varios desarrolladores y socios. A pesar de estos esfuerzos, el grupo continúa operando y planea lanzar una nueva versión, LockBit 4.0, en 2025.
Análisis de un ataque LockBit
 |
| LockBit ransomware se lanzó en el entorno seguro del sandbox ANY.RUN |
Verificar esta sesión de espacio aisladoque muestra qué tan rápido LockBit infecta y cifra archivos en un sistema.
 |
| El Sandbox interactivo de ANY.RUN le permite ver el análisis estático de cada archivo modificado en el sistema. |
Al rastrear los cambios en el sistema de archivos, podemos ver que modificó 300 archivos en menos de un minuto.
 |
| Nota de rescate pide a las víctimas que se pongan en contacto con los atacantes |
El malware también deja caer una nota de rescate, detallando las instrucciones para recuperar los datos.
Mejore su seguridad proactiva con el Sandbox interactivo de ANY.RUN
Analizar las ciberamenazas de forma proactiva en lugar de reaccionar ante ellas una vez que se convierten en un problema para su organización es el mejor curso de acción que cualquier empresa puede tomar. Simplifíquelo con el entorno de pruebas interactivo de ANY.RUN examinando todos los archivos y URL sospechosos dentro de un entorno virtual seguro que le ayuda a identificar contenido malicioso con facilidad.
Con el sandbox de ANY.RUN, su empresa puede:
- Detecte y confirme rápidamente archivos y enlaces dañinos durante las comprobaciones programadas.
- Investigue cómo opera el malware a un nivel más profundo para revelar sus tácticas y estrategias.
- Responda a los incidentes de seguridad de manera más efectiva recopilando información importante sobre amenazas a través del análisis de espacio aislado.
Pruebe todas las funciones de ANY.RUN con una prueba gratuita de 14 días.
About the Author
