El panorama de las amenazas sigue evolucionando rápidamente. Desde principios de este año, el equipo de investigación de la empresa de ciberseguridad Proofpoint ha detectado que los ciberdelincuentes están llevando a cabo más apropiaciones de cuentas, dando un nuevo giro a las estafas con bitcoins y usando más las herramientas RMM para sus ataques.

Estas serán las cuatro novedades más destacables en ciberamenazas durante el primer trimestre de 2025:

1. Aumenta el número de robos de cuentas.

Los investigadores de amenazas ven una tendencia creciente en el uso de herramientas cliente HTTP en incidentes de toma de control de cuentas. Estas herramientas son aplicaciones o bibliotecas de software utilizadas para enviar solicitudes y recibir respuestas de servidores web. Con ellas, los atacantes consiguen comprometer los entornos de Microsoft 365.

Estas son las principales conclusiones del análisis de Proofpoint:

·       Aumentan los intentos de toma de control de cuentas: el estudio muestra que el 78% de los clientes de Microsoft 365 fue objetivo al menos una vez de estos ataques, implicando el uso de un cliente HTTP identificable.

·       Métodos de “fuerza bruta”: la mayoría de los ataques a la nube basados en HTTP emplean métodos de fuerza bruta, lo cual se traduce en bajas tasas de éxito.

·       Un cliente HTTP único: una campaña reciente con el cliente HTTP único Axiom tuvo una tasa de éxito particularmente alta. El 43% de las cuentas de usuario se vio comprometido.

·       Una campaña también de “fuerza bruta”: los investigadores identifican este tipo de campaña, que utilizaba el cliente Node Fetch, reconocible por su alta velocidad y sus intentos de acceso distribuido.

·       Varias herramientas cliente HTTP han sido mejoradas para ataques de apropiación de cuentas, en las que estas abusan de las API y crean solicitudes. La tendencia sugiere que los atacantes siguen cambiando entre diferentes herramientas cliente HTTP, lo cual ofrece diferentes ventajas y hace que los ataques sean más eficaces.

2. La evolución de las estafas con bitcoins.

Tras el auge de las estafas con criptomonedas mediante imágenes, surge ahora la tendencia del VidSpam en el que los atacantes mejoran sus tácticas de engaño con pequeños archivos de vídeo.

Como principales características, los investigadores de Proofpoint destacan:

·       Uso de vídeo en mensajes multimedia (MMS) en el móvil para promocionar estafas con bitcoins.

·       Uno de los mensajes fraudulentos contenía un ligero archivo 3GP de 14KB para convencer a las víctimas de que hagan clic en el enlace y conectarse con los estafadores.

·       Los destinatarios de esos vídeos son dirigidos a grupos de Whatsapp, donde los estafadores ejercen una fuerte presión para extraer dinero o información personal.

·       Este abuso de los MMS podría seguir creciendo con contenidos multimedia cada vez más engañosos para captar a personas desprevenidas.

A medida que los estafadores mejoran sus tácticas, los defensores y los consumidores deben permanecer en alerta y adaptarse a las nuevas cadenas de ataque. El abuso basado en mensajes con vídeo representa una evolución en las herramientas que los atacantes utilizan para explotar a las víctimas. La colaboración es esencial para ir un paso por delante de estas amenazas en evolución.

3. Las herramientas RMM como primer paso del ciberataque.

La supervisión y gestión remota (RMM) se utilizan en las empresas de TI de manera legítima. Sin embargo, si se usa de manera mal intencionada, este software puede funcionar como un troyano de acceso remoto (RAT). Los ciberdelincuentes están distribuyendo cada vez más herramientas RMM por correo electrónico en sus amenazas con motivaciones económicas.

Además, las investigaciones señalan que:

·       Cada vez más atacantes utilizan herramientas RMM legítimas como primer paso para ciberataques en campañas por correo electrónico.

·       El año pasado se detectó un aumento notable en el uso de este software entre los ciberdelincuentes, y se espera que esta tendencia continúe en 2025.

·       Las herramientas RMM se utilizan para la recopilación de datos, el robo financiero y la instalación de malware de seguimiento, como el ransomware, entre otros.

·       Los ciberdelincuentes crean y distribuyen fácilmente herramientas de monitorización externas, que a menudo son utilizadas legítimamente por los usuarios finales y pasan menos desapercibidas que otros RAT.

·       Asimismo, se prevé que el software RMM se utilice cada vez más como carga útil inicial.

4. Campaña de correo electrónico muy selectiva: UNK_CraftyCamel

En otoño de 2024, UNK_CraftyCamel se aprovechó de la vulnerabilidad de una empresa india de electrónica para atacar a organizaciones de los Emiratos Árabes Unidos (EAU). Un archivo ZIP malicioso instaló un backdoor Go personalizado llamado “Sosano”, en el que se usan varios archivos políglotas que, dependiendo de cómo se analizan, pueden interpretarse en distintos formatos.

En esta investigación en curso, los investigadores de Proofpoint confirman que:

·       Se trata de una campaña extremadamente selectiva, basada en el correo electrónico y dirigida a un pequeño número de empresas del sector de la aviación y las comunicaciones por satélite en los EAU.

·       Los mensajes maliciosos se enviaron a través de una parte comprometida en una relación comercial de confianza. Los señuelos estaban personalizados para cada objetivo.

·       El backdoor “Sosano” utilizaba múltiples técnicas para ocultar el malware y la carga útil. El atacante cuenta con una importante capacidad de desarrollo y un interés en protegerse contra el simple análisis de sus cargas útiles.

·       El uso de archivos políglotas es una técnica relativamente poco utilizada en el ciberespionaje.