{"id":1522386,"date":"2025-01-08T13:29:09","date_gmt":"2025-01-08T13:29:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-cinco-principales-amenazas-de-malware-contra-las-que-hay-que-prepararse-en-2025\/"},"modified":"2025-01-08T13:29:15","modified_gmt":"2025-01-08T13:29:15","slug":"las-cinco-principales-amenazas-de-malware-contra-las-que-hay-que-prepararse-en-2025","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-cinco-principales-amenazas-de-malware-contra-las-que-hay-que-prepararse-en-2025\/","title":{"rendered":"Las cinco principales amenazas de malware contra las que hay que prepararse en 2025"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

2024 tuvo una buena cantidad de ataques cibern\u00e9ticos de alto perfil, y empresas tan grandes como Dell y TicketMaster fueron v\u00edctimas de violaciones de datos y otros compromisos de infraestructura. En 2025, esta tendencia continuar\u00e1. Por lo tanto, para estar preparada para cualquier tipo de ataque de malware, cada organizaci\u00f3n necesita conocer de antemano a su ciberenemigo. Aqu\u00ed hay 5 familias de malware comunes que puede comenzar a prepararse para contrarrestar ahora mismo.<\/p>\n

lumma<\/h2>\n

Lumma es un malware ampliamente disponible dise\u00f1ado para robar informaci\u00f3n confidencial. Se vende abiertamente en la Dark Web desde 2022. Este malware puede recopilar y filtrar de forma eficaz datos de aplicaciones espec\u00edficas, incluidas credenciales de inicio de sesi\u00f3n, informaci\u00f3n financiera y datos personales.<\/p>\n

Lumma se actualiza peri\u00f3dicamente para mejorar sus capacidades. Puede registrar informaci\u00f3n detallada de sistemas comprometidos, como el historial de navegaci\u00f3n y los datos de la billetera de criptomonedas. Puede usarse para instalar otro software malicioso en dispositivos infectados. En 2024, Lumma se distribuy\u00f3 a trav\u00e9s de varios m\u00e9todos, incluidas p\u00e1ginas CAPTCHA falsas, torrents y correos electr\u00f3nicos de phishing dirigidos.<\/p>\n

An\u00e1lisis de un ataque Lumma<\/h3>\n

El an\u00e1lisis proactivo de archivos y URL sospechosos dentro de un entorno sandbox puede ayudarle eficazmente a prevenir la infecci\u00f3n por Lumma. <\/p>\n

Veamos c\u00f3mo puedes hacerlo usando La zona de pruebas basada en la nube de ANY.RUN<\/a>. No s\u00f3lo ofrece veredictos definitivos sobre malware y phishing junto con indicadores procesables, sino que tambi\u00e9n permite la interacci\u00f3n en tiempo real con la amenaza y el sistema.<\/p>\n

Echa un vistazo a este an\u00e1lisis<\/a> de un ataque Lumma.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
ANY.RUN te permite abrir archivos manualmente y ejecutar ejecutables<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Comienza con un archivo que contiene un ejecutable. Una vez que iniciamos el archivo .exe, el sandbox registra autom\u00e1ticamente todos los procesos y actividades de la red, mostrando las acciones de Lumma.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Suricata IDS nos informa sobre una conexi\u00f3n maliciosa al servidor C2 de Lumma<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Se conecta a su servidor de comando y control (C2). <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Proceso malicioso responsable de robar datos del sistema.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A continuaci\u00f3n, comienza a recopilar y extraer datos de la m\u00e1quina.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Puede utilizar los IOC extra\u00eddos por el sandbox para mejorar sus sistemas de detecci\u00f3n.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Despu\u00e9s de finalizar el an\u00e1lisis, podemos exportar un informe sobre esta muestra, que presenta todos los indicadores importantes de compromiso (IOC) y TTP que pueden usarse para enriquecer las defensas contra posibles ataques de Lumma en su organizaci\u00f3n.<\/p>\n

Pruebe todas las funciones de Interactive Sandbox de ANY.RUN de forma gratuita con una prueba de 14 d\u00edas<\/a><\/p><\/blockquote>\n

Xgusano<\/h2>\n

XWorm es un programa malicioso que proporciona a los ciberdelincuentes control remoto de los ordenadores infectados. Apareci\u00f3 por primera vez en julio de 2022 y puede recopilar una amplia gama de informaci\u00f3n confidencial, incluidos detalles financieros, historial de navegaci\u00f3n, contrase\u00f1as guardadas y datos de billeteras de criptomonedas. <\/p>\n

XWorm permite a los atacantes monitorear las actividades de las v\u00edctimas rastreando las pulsaciones de teclas, capturando im\u00e1genes de c\u00e1maras web, escuchando entradas de audio, escaneando conexiones de red y viendo ventanas abiertas. Tambi\u00e9n puede acceder y manipular el portapapeles de la computadora, potencialmente robando credenciales de billetera de criptomonedas. <\/p>\n

En 2024, XWorm estuvo involucrado en muchos ataques a gran escala, incluidos aquellos que explotaron los t\u00faneles de CloudFlare y los certificados digitales leg\u00edtimos.<\/p>\n

An\u00e1lisis de un ataque XWorm<\/h3>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Los correos electr\u00f3nicos de phishing suelen ser la etapa inicial de los ataques de XWorm.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En este ataque<\/a>podemos ver el correo electr\u00f3nico de phishing original, que incluye un enlace a una unidad de Google.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Una p\u00e1gina de Google Drive con un enlace de descarga a un archivo malicioso<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Una vez que seguimos el enlace, se nos ofrece descargar un archivo que est\u00e1 protegido con una contrase\u00f1a.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Archivo malicioso abierto con un archivo .vbs<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

La contrase\u00f1a se puede encontrar en el correo electr\u00f3nico. Despu\u00e9s de ingresarlo, podemos acceder a un script .vbs dentro del archivo .zip. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
XWorm usa MSBuild.exe para persistir en el sistema<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tan pronto como iniciamos el script, el sandbox detecta instant\u00e1neamente actividades maliciosas, lo que eventualmente conduce a la implementaci\u00f3n de XWorm en la m\u00e1quina.<\/p>\n

as\u00edncrono<\/h2>\n

AsyncRAT es otro troyano de acceso remoto de la lista. Visto por primera vez en 2019, inicialmente se difundi\u00f3 a trav\u00e9s de correos electr\u00f3nicos no deseados, a menudo aprovechando la pandemia de COVID-19 como se\u00f1uelo. Desde entonces, el malware ha ganado popularidad y se ha utilizado en diversos ciberataques.<\/p>\n

AsyncRAT ha evolucionado con el tiempo para incluir una amplia gama de capacidades maliciosas. Puede registrar en secreto la actividad de la pantalla de una v\u00edctima, registrar las pulsaciones de teclas, instalar malware adicional, robar archivos, mantener una presencia persistente en los sistemas infectados, desactivar el software de seguridad y lanzar ataques que abruman los sitios web espec\u00edficos.<\/p>\n

En 2024, AsyncRAT segu\u00eda siendo una amenaza importante, a menudo disfrazada de software pirateado. Tambi\u00e9n fue una de las primeras familias de malware que se distribuy\u00f3 como parte de ataques complejos que involucraban scripts generados por IA.<\/p>\n

An\u00e1lisis de un ataque AsyncRAT<\/h3>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El archivo inicial con un archivo .exe<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En esta sesi\u00f3n de an\u00e1lisis<\/a>podemos ver otro archivo con un ejecutable malicioso en su interior.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Un proceso de PowerShell utilizado para descargar una carga \u00fatil<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

La detonaci\u00f3n del archivo inicia la cadena de ejecuci\u00f3n de XWorm, que implica el uso de scripts de PowerShell para recuperar archivos adicionales necesarios para facilitar la infecci\u00f3n.<\/p>\n

\"\"<\/a><\/div>\n

Una vez finalizado el an\u00e1lisis, el sandbox muestra el veredicto final sobre la muestra.<\/p>\n

Remcos<\/h2>\n

Remcos es un malware que sus creadores han comercializado como una herramienta leg\u00edtima de acceso remoto. Desde su lanzamiento en 2019, se ha utilizado en numerosos ataques para realizar una amplia gama de actividades maliciosas, incluido el robo de informaci\u00f3n confidencial, el control remoto del sistema, la grabaci\u00f3n de pulsaciones de teclas, la captura de actividad de la pantalla, etc.<\/p>\n

En 2024, las campa\u00f1as para distribuir Remcos utilizaron t\u00e9cnicas como ataques basados \u200b\u200ben scripts, que a menudo comienzan con un VBScript que inicia un script de PowerShell para implementar el malware, y explotaron vulnerabilidades como CVE-2017-11882 aprovechando archivos XML maliciosos.<\/p>\n

An\u00e1lisis de un ataque Remcos<\/h3>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Correo electr\u00f3nico de phishing abierto en el Sandbox interactivo de ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En este ejemplo<\/a>nos encontramos con otro correo electr\u00f3nico de phishing que incluye un archivo adjunto .zip y una contrase\u00f1a.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Proceso cmd utilizado durante la cadena de infecci\u00f3n.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

La carga \u00fatil final aprovecha el s\u00edmbolo del sistema y los procesos del sistema Windows para cargar y ejecutar Remcos.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
La matriz MITRE ATT&CK proporciona una visi\u00f3n completa de las t\u00e9cnicas del malware<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El sandbox ANY.RUN asigna toda la cadena de ataque a la matriz MITRE ATT&CK para mayor comodidad. <\/p>\n

BloquearBit<\/h2>\n

LockBit es un ransomware dirigido principalmente a dispositivos Windows. Se considera una de las mayores amenazas de ransomware y representa una parte sustancial de todos los ataques de ransomware como servicio (RaaS). La naturaleza descentralizada del grupo LockBit le ha permitido comprometer a numerosas organizaciones de alto perfil en todo el mundo, incluido el Royal Mail del Reino Unido y los Laboratorios Aeroespaciales Nacionales de la India (en 2024).<\/p>\n

Las fuerzas del orden han tomado medidas para combatir al grupo LockBit, lo que ha llevado al arresto de varios desarrolladores y socios. A pesar de estos esfuerzos, el grupo contin\u00faa operando y planea lanzar una nueva versi\u00f3n, LockBit 4.0, en 2025.<\/p>\n

An\u00e1lisis de un ataque LockBit<\/h3>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
LockBit ransomware se lanz\u00f3 en el entorno seguro del sandbox ANY.RUN<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Verificar esta sesi\u00f3n de espacio aislado<\/a>que muestra qu\u00e9 tan r\u00e1pido LockBit infecta y cifra archivos en un sistema.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El Sandbox interactivo de ANY.RUN le permite ver el an\u00e1lisis est\u00e1tico de cada archivo modificado en el sistema.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Al rastrear los cambios en el sistema de archivos, podemos ver que modific\u00f3 300 archivos en menos de un minuto.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Nota de rescate pide a las v\u00edctimas que se pongan en contacto con los atacantes<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El malware tambi\u00e9n deja caer una nota de rescate, detallando las instrucciones para recuperar los datos.<\/p>\n

Mejore su seguridad proactiva con el Sandbox interactivo de ANY.RUN<\/h2>\n

Analizar las ciberamenazas de forma proactiva en lugar de reaccionar ante ellas una vez que se convierten en un problema para su organizaci\u00f3n es el mejor curso de acci\u00f3n que cualquier empresa puede tomar. Simplif\u00edquelo con el entorno de pruebas interactivo de ANY.RUN examinando todos los archivos y URL sospechosos dentro de un entorno virtual seguro que le ayuda a identificar contenido malicioso con facilidad. <\/p>\n

Con el sandbox de ANY.RUN, su empresa puede:<\/p>\n