Ciberseguridad: 4 tendencias en amenazas durante el primer trimestre de 2025 

El panorama de las amenazas sigue evolucionando rápidamente. Desde principios de este año, el equipo de investigación de la empresa de ciberseguridad Proofpoint ha detectado que los ciberdelincuentes están llevando a cabo más apropiaciones de cuentas, dando un nuevo giro a las estafas con bitcoins y usando más las herramientas RMM para sus ataques.

Estas serán las cuatro novedades más destacables en ciberamenazas durante el primer trimestre de 2025:

1. Aumenta el número de robos de cuentas.

Los investigadores de amenazas ven una tendencia creciente en el uso de herramientas cliente HTTP en incidentes de toma de control de cuentas. Estas herramientas son aplicaciones o bibliotecas de software utilizadas para enviar solicitudes y recibir respuestas de servidores web. Con ellas, los atacantes consiguen comprometer los entornos de Microsoft 365.

Estas son las principales conclusiones del análisis de Proofpoint:

·       Aumentan los intentos de toma de control de cuentas: el estudio muestra que el 78% de los clientes de Microsoft 365 fue objetivo al menos una vez de estos ataques, implicando el uso de un cliente HTTP identificable.

·       Métodos de “fuerza bruta”: la mayoría de los ataques a la nube basados en HTTP emplean métodos de fuerza bruta, lo cual se traduce en bajas tasas de éxito.

·       Un cliente HTTP único: una campaña reciente con el cliente HTTP único Axiom tuvo una tasa de éxito particularmente alta. El 43% de las cuentas de usuario se vio comprometido.

·       Una campaña también de “fuerza bruta”: los investigadores identifican este tipo de campaña, que utilizaba el cliente Node Fetch, reconocible por su alta velocidad y sus intentos de acceso distribuido.

·       Varias herramientas cliente HTTP han sido mejoradas para ataques de apropiación de cuentas, en las que estas abusan de las API y crean solicitudes. La tendencia sugiere que los atacantes siguen cambiando entre diferentes herramientas cliente HTTP, lo cual ofrece diferentes ventajas y hace que los ataques sean más eficaces.

2. La evolución de las estafas con bitcoins.

Tras el auge de las estafas con criptomonedas mediante imágenes, surge ahora la tendencia del VidSpam en el que los atacantes mejoran sus tácticas de engaño con pequeños archivos de vídeo.

Como principales características, los investigadores de Proofpoint destacan:

·       Uso de vídeo en mensajes multimedia (MMS) en el móvil para promocionar estafas con bitcoins.

·       Uno de los mensajes fraudulentos contenía un ligero archivo 3GP de 14KB para convencer a las víctimas de que hagan clic en el enlace y conectarse con los estafadores.

·       Los destinatarios de esos vídeos son dirigidos a grupos de Whatsapp, donde los estafadores ejercen una fuerte presión para extraer dinero o información personal.

·       Este abuso de los MMS podría seguir creciendo con contenidos multimedia cada vez más engañosos para captar a personas desprevenidas.

A medida que los estafadores mejoran sus tácticas, los defensores y los consumidores deben permanecer en alerta y adaptarse a las nuevas cadenas de ataque. El abuso basado en mensajes con vídeo representa una evolución en las herramientas que los atacantes utilizan para explotar a las víctimas. La colaboración es esencial para ir un paso por delante de estas amenazas en evolución.

3. Las herramientas RMM como primer paso del ciberataque.

La supervisión y gestión remota (RMM) se utilizan en las empresas de TI de manera legítima. Sin embargo, si se usa de manera mal intencionada, este software puede funcionar como un troyano de acceso remoto (RAT). Los ciberdelincuentes están distribuyendo cada vez más herramientas RMM por correo electrónico en sus amenazas con motivaciones económicas.

Además, las investigaciones señalan que:

·       Cada vez más atacantes utilizan herramientas RMM legítimas como primer paso para ciberataques en campañas por correo electrónico.

·       El año pasado se detectó un aumento notable en el uso de este software entre los ciberdelincuentes, y se espera que esta tendencia continúe en 2025.

·       Las herramientas RMM se utilizan para la recopilación de datos, el robo financiero y la instalación de malware de seguimiento, como el ransomware, entre otros.

·       Los ciberdelincuentes crean y distribuyen fácilmente herramientas de monitorización externas, que a menudo son utilizadas legítimamente por los usuarios finales y pasan menos desapercibidas que otros RAT.

·       Asimismo, se prevé que el software RMM se utilice cada vez más como carga útil inicial.

4. Campaña de correo electrónico muy selectiva: UNK_CraftyCamel

En otoño de 2024, UNK_CraftyCamel se aprovechó de la vulnerabilidad de una empresa india de electrónica para atacar a organizaciones de los Emiratos Árabes Unidos (EAU). Un archivo ZIP malicioso instaló un backdoor Go personalizado llamado “Sosano”, en el que se usan varios archivos políglotas que, dependiendo de cómo se analizan, pueden interpretarse en distintos formatos.

En esta investigación en curso, los investigadores de Proofpoint confirman que:

·       Se trata de una campaña extremadamente selectiva, basada en el correo electrónico y dirigida a un pequeño número de empresas del sector de la aviación y las comunicaciones por satélite en los EAU.

·       Los mensajes maliciosos se enviaron a través de una parte comprometida en una relación comercial de confianza. Los señuelos estaban personalizados para cada objetivo.

·       El backdoor “Sosano” utilizaba múltiples técnicas para ocultar el malware y la carga útil. El atacante cuenta con una importante capacidad de desarrollo y un interés en protegerse contra el simple análisis de sus cargas útiles.

·       El uso de archivos políglotas es una técnica relativamente poco utilizada en el ciberespionaje.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.