Las amenazas informáticas siguen evolucionando a pasos agigantados. Desde principios de año, la empresa Proofpoint ha detectado como los ciberdelincuentes se están apropiando de un número mayor de cuentas, dando un nuevo giro a las estafas con bitcoins y usando herramientas RMM para sus ataques.
Tras analizar toda la información recopilada, desde la empresa han anunciado cuales son las 4 tendencias en ciberamenazas más destacables durante el primer trimestre del 2025.
1. Aumenta el número de robos de cuentas.
Los investigadores de amenazas ven una tendencia creciente en el uso de herramientas cliente HTTP en incidentes de toma de control de cuentas. Estas herramientas son aplicaciones o bibliotecas de software utilizadas para enviar solicitudes y recibir respuestas de servidores web. Con ellas, los atacantes consiguen comprometer los entornos de Microsoft 365.
Estas son las principales conclusiones del análisis de Proofpoint:
- Aumentan los intentos de toma de control de cuentas: el estudio muestra que el 78% de los clientes de Microsoft 365 fue objetivo al menos una vez de estos ataques, implicando el uso de un cliente HTTP identificable.
- Métodos de “fuerza bruta”: la mayoría de los ataques a la nube basados en HTTP emplean métodos de fuerza bruta, lo cual se traduce en bajas tasas de éxito.
- Un cliente HTTP único: una campaña reciente con el cliente HTTP único Axiom tuvo una tasa de éxito particularmente alta. El 43% de las cuentas de usuario se vio comprometido.
- Una campaña también de “fuerza bruta”: los investigadores identificaron este tipo de campaña, que utilizaba el cliente Node Fetch, reconocible por su alta velocidad y sus intentos de acceso distribuidos.
- Varias herramientas cliente HTTP han sido mejoradas para ataques de apropiación de cuentas, en las que estas abusan de las API y crean peticiones. La tendencia sugiere que los atacantes siguen cambiando entre diferentes herramientas cliente HTTP, lo cual ofrece diferentes ventajas y hace que los ataques sean más eficaces.
2. La evolución de las estafas con bitcoins.
Tras el auge de las estafas con criptomonedas mediante imágenes, surge ahora la tendencia del VidSpam en el que los atacantes mejoran sus tácticas de engaño con pequeños archivos de vídeo.
Como principales características, los investigadores de Proofpoint destacan:
- Uso de vídeo en mensajes multimedia (MMS) en el móvil para promocionar estafas con bitcoins.
- Uno de los mensajes fraudulentos contenía un ligero archivo 3GP de 14KB para convencer a las víctimas de que hagan clic en el enlace y conectarse con los estafadores.
- Los destinatarios de esos vídeos son dirigidos a grupos de Whatsapp, donde los estafadores ejercen una fuerte presión para extraer dinero o información personal.
- Este abuso de los MMS podría seguir creciendo con contenidos multimedia cada vez más engañosos para captar a personas desprevenidas.
A medida que los estafadores mejoran sus tácticas, los defensores y los consumidores deben permanecer en alerta y adaptarse a las nuevas cadenas de ataque. El abuso basado en mensajes con vídeo representa una evolución en las herramientas que los atacantes utilizan para explotar a las víctimas. La colaboración es esencial para ir un paso por delante de estas amenazas en evolución.
3. Las herramientas RMM como primer paso del ciberataque.
La supervisión y gestión remotas (RMM) se usan en las empresas de TI de manera legítima. Sin embargo, si se usa de manera malintencionada, este software puede funcionar como un troyano de acceso remoto (RAT). Los ciberdelincuentes están distribuyendo cada vez más herramientas RMM por correo electrónico en sus amenazas con motivaciones económicas.
Además, las investigaciones señalan que:
- Cada vez más atacantes usan herramientas RMM legítimas como primer paso para ciberataques en campañas por correo electrónico.
- El año pasado se detectó un aumento notable en el uso de este software entre los ciberdelincuentes, y se espera que esta tendencia continúe en 2025.
- Las herramientas RMM se utilizan para la recopilación de datos, el robo financiero y la instalación de malware de seguimiento, como el ransomware, entre otros.
- Los ciberdelincuentes crean y distribuyen fácilmente herramientas de monitorización externas, que a menudo son utilizadas legítimamente por los usuarios finales y pasan menos desapercibidas que otros RAT.
- Asimismo, se prevé que el software RMM se utilice cada vez más como carga útil inicial.
4. Campaña de correo electrónico muy selectiva: UNK_CraftyCamel
En otoño de 2024, UNK_CraftyCamel se aprovechó de la vulneración de una empresa india de electrónica para atacar a organizaciones de los Emiratos Árabes Unidos (EAU). Un archivo ZIP malicioso instaló un backdoor Go personalizado llamado “Sosano”, en el que se usan varios archivos políglotas que, dependiendo de cómo se analicen, pueden interpretarse en distintos formatos.
En esta investigación en curso, los investigadores de Proofpoint confirman que:
- Se trata de una campaña extremadamente selectiva, basada en el correo electrónico y dirigida a un pequeño número de empresas del sector de la aviación y las comunicaciones por satélite en los EAU.
- Los mensajes maliciosos se enviaron a través de una parte comprometida en una relación comercial de confianza. Los señuelos estaban personalizados para cada objetivo.
- El backdoor “Sosano” utilizaba múltiples técnicas para ocultar el malware y la carga útil. El atacante cuenta con una importante capacidad de desarrollo y un interés en protegerse contra el simple análisis de sus cargas útiles.
El uso de archivos políglotas es una técnica relativamente poco utilizada en el ciberespionaje.
