Las 5 Principales Amenazas de Malware para Prepararse en 2025

XPoint
Publicado el 08/01/2025

El 2024 estuvo marcado por ciberataques de alto perfil, con empresas tan grandes como Dell y TicketMaster siendo víctimas de violaciones de datos y compromisos en sus infraestructuras. En 2025, esta tendencia continuará. Por lo tanto, para estar preparado frente a cualquier ataque de malware, cada organización debe conocer a su enemigo cibernético con anticipación. Aquí te presentamos 5 familias de malware comunes contra las cuales puedes comenzar a prepararte desde ahora.

 

Lumma

 

Lumma es un malware ampliamente disponible diseñado para robar información sensible. Está a la venta en la Dark Web desde 2022. Este malware recopila y exfiltra datos de aplicaciones específicas, como credenciales de inicio de sesión, información financiera y detalles personales.

Con actualizaciones regulares, Lumma mejora continuamente sus capacidades. Puede registrar historial de navegación, datos de monederos de criptomonedas y más. Además, se utiliza para instalar otro software malicioso en dispositivos infectados. En 2024, Lumma se distribuyó mediante páginas CAPTCHA falsas, torrents y correos de phishing dirigidos.

 

Análisis de un ataque de Lumma

El análisis proactivo de archivos y URL sospechosos en un entorno aislado puede ayudar a prevenir infecciones de Lumma. Herramientas de sandboxing permiten realizar análisis en tiempo real, brindando indicadores accionables para reforzar las defensas de tu organización.

 

XWorm

 

XWorm es un programa malicioso que otorga a los ciberdelincuentes control remoto sobre equipos infectados. Apareció por primera vez en julio de 2022 y puede recopilar información sensible como detalles financieros, historial de navegación, contraseñas guardadas y datos de criptomonedas.

Este malware permite a los atacantes rastrear actividades, capturar imágenes de webcams, escuchar entradas de audio y manipular el portapapeles para robar credenciales. En 2024, XWorm fue utilizado en ataques masivos que aprovecharon túneles de CloudFlare y certificados digitales legítimos.

 

Análisis de un ataque de XWorm

Las campañas de phishing suelen ser el primer paso de un ataque con XWorm. Los atacantes envían correos con enlaces a archivos maliciosos protegidos por contraseña. Una vez ejecutado, el malware despliega su cadena de infección mediante scripts de PowerShell, facilitando su persistencia en el sistema.

 

AsyncRAT

 

AsyncRAT es un troyano de acceso remoto detectado por primera vez en 2019. Inicialmente distribuido mediante correos spam, ha evolucionado para incluir capacidades como grabar pantallas, registrar pulsaciones de teclado, instalar más malware, y deshabilitar software de seguridad.

En 2024, AsyncRAT fue usado frecuentemente como software pirata, incluso formando parte de ataques complejos con scripts generados por IA.

 

Análisis de un ataque de AsyncRAT

El malware utiliza PowerShell para descargar archivos adicionales y establecer su presencia en el sistema. Un análisis detallado en una sandbox ayuda a identificar indicadores clave para reforzar la ciberseguridad.

 

Remcos

 

Remcos, lanzado en 2019, es un malware comercializado como una herramienta legítima de acceso remoto. Sin embargo, se ha utilizado para robar información sensible, controlar sistemas remotamente y realizar otras actividades maliciosas.

En 2024, las campañas de distribución de Remcos utilizaron scripts de VB y exploits como CVE-2017-11882 para infectar sistemas mediante archivos XML maliciosos.

 

Análisis de un ataque de Remcos

Remcos utiliza procesos del sistema de Windows y el símbolo del sistema para ejecutar su carga útil final. El análisis en sandbox mapea las técnicas del malware al marco MITRE ATT&CK para una mejor comprensión.

 

LockBit

 

LockBit es un ransomware que apunta principalmente a dispositivos Windows. Este malware, operado bajo el modelo de Ransomware como Servicio (RaaS), estuvo detrás de numerosos ataques en 2024, incluyendo los dirigidos al Royal Mail del Reino Unido y los Laboratorios Nacionales de Aeronáutica de India.

A pesar de los esfuerzos de las fuerzas del orden, el grupo detrás de LockBit sigue operativo y planea lanzar la versión 4.0 en 2025.

 


 

English

The Top 5 Malware Threats to Prepare for in 2025

 

The year 2024 saw a wave of high-profile cyberattacks, with major companies like Dell and TicketMaster falling victim to data breaches and infrastructure compromises. This trend is expected to continue in 2025. To effectively defend against malware attacks, organizations must stay ahead by understanding their potential cyber adversaries. Here are five prominent malware families you should start preparing for today.

 

Lumma

 

Lumma is a widely available malware designed to steal sensitive information. It has been sold on the Dark Web since 2022 and is capable of collecting and exfiltrating data from targeted applications, including login credentials, financial information, and personal details.

Regular updates continuously enhance Lumma’s capabilities. It can log browsing histories, extract cryptocurrency wallet data, and more. Additionally, it serves as a gateway for installing other malicious software on compromised devices. In 2024, Lumma was distributed through fake CAPTCHA pages, torrent downloads, and targeted phishing emails.

 

Analyzing a Lumma Attack

Proactive analysis of suspicious files and URLs in a sandbox environment can effectively help prevent Lumma infections. Sandboxing tools provide real-time insights and actionable indicators, helping organizations strengthen their defenses.

 

XWorm

 

XWorm is a malicious tool that grants cybercriminals remote control over infected devices. First discovered in July 2022, XWorm can harvest sensitive data, such as financial details, browsing history, saved passwords, and cryptocurrency wallet credentials.

This malware enables attackers to monitor user activities, capture webcam footage, listen to audio inputs, and manipulate clipboard contents to steal credentials. In 2024, XWorm was linked to large-scale attacks exploiting CloudFlare tunnels and legitimate digital certificates.

 

Analyzing a XWorm Attack

Phishing campaigns are often the starting point of XWorm attacks. Victims receive emails containing links to password-protected malicious files. Once executed, the malware initiates its infection chain using PowerShell scripts, establishing persistence on the system.

 

AsyncRAT

 

AsyncRAT is a remote access trojan (RAT) first detected in 2019. Initially distributed via spam emails, it has since evolved to include features like screen recording, keystroke logging, additional malware installation, and disabling security software.

In 2024, AsyncRAT was frequently distributed as pirated software and played a significant role in sophisticated attacks, some of which leveraged AI-generated scripts.

 

Analyzing an AsyncRAT Attack

AsyncRAT often uses PowerShell scripts to download additional malicious files and establish a foothold on infected systems. A detailed sandbox analysis helps identify critical indicators to bolster cybersecurity defenses.

 

Remcos

 

Launched in 2019, Remcos is a malware initially marketed as a legitimate remote access tool. However, it has been used in numerous cyberattacks to steal sensitive information, remotely control systems, and perform a variety of malicious activities.

In 2024, Remcos distribution campaigns relied on VBScript-based attacks and exploits like CVE-2017-11882, using malicious XML files to infect systems.

 

Analyzing a Remcos Attack

Remcos uses Windows system processes and the Command Prompt to deploy its payload. Sandbox tools map these techniques to the MITRE ATT&CK framework, offering a comprehensive view of the malware’s behavior.

 

LockBit

 

LockBit is a ransomware strain primarily targeting Windows devices. As a leading Ransomware-as-a-Service (RaaS) operation, it was responsible for numerous attacks in 2024, including those targeting the UK’s Royal Mail and India’s National Aerospace Laboratories.

Despite law enforcement efforts to dismantle the group, LockBit remains active and is expected to release version 4.0 in 2025.

 

Analyzing a LockBit Attack

LockBit rapidly encrypts files on infected systems and leaves a ransom note with instructions for recovery. Sandbox environments can track file modifications and provide static analysis of affected files, offering valuable insights to mitigate future threats.

¿Qué es y para qué sirve un Sandbox?

+

En el mundo de la ciberseguridad, un sandbox o entorno de pruebas es una máquina virtual aislada en la que se puede ejecutar código de software potencialmente inseguro sin afectar a los recursos de red o a las aplicaciones locales.

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos