< Back
network around a world map

Tags:

Threat intelligence
07 Mayo 2025

Resumen semanal de los ciberataques 1 a 7 de mayo

Nueva ola de ciberataques en Portugal usa la técnica de engaño ClickFix 

Investigadores de ciberseguridad han identificado una nueva campaña cibernética dirigida a decenas de organizaciones portuguesas en los sectores gubernamental, financiero y de transporte. El ataque está vinculado al malware Lampion, un infostealer que roba principalmente datos bancarios, que ha estado activo desde 2019. En esta ocasión, los atacantes han incorporado una técnica de ingeniería social llamada ClickFix, que induce a los usuarios a copiar comandos maliciosos creyendo que solucionan problemas del sistema. La infección comienza con correos de phishing y archivos ZIP que contienen scripts Visual Basic altamente ofuscados, los cuales se ejecutan en varias fases para evadir la detección. Aunque el malware final no fue activado en esta campaña, los investigadores pudieron reconstruir toda la cadena de infección, que incluye técnicas de evasión, obtención de datos del sistema y descarga de una DLL de más de 700 MB. El uso de comentarios en portugués dentro del código sugiere que el ataque fue diseñado específicamente para usuarios lusófonos.

Google corrige grave fallo de seguridad en Android ya explotado por atacantes 

Google ha lanzado su actualización de seguridad de mayo para Android, corrigiendo 46 vulnerabilidades, entre ellas una crítica ya explotada activamente: la CVE-2025-27363. Esta vulnerabilidad, con una puntuación CVSS de 8.1, afecta al componente del sistema y permite la ejecución de código local sin requerir permisos adicionales ni interacción del usuario. El origen del fallo está en la biblioteca de código abierto FreeType, utilizada para renderizar fuentes. La vulnerabilidad, una escritura fuera de límites al procesar fuentes TrueType GX y variables, fue revelada por Facebook en marzo tras detectar su uso en ataques reales. Aunque Google señala que el alcance de la explotación es limitado y dirigido, recomienda actualizar cuanto antes. 

Detectada una nueva versión del malware StealC con nuevas capacidades de robo de datos 

StealC, un conocido malware de robo de información y descarga de programas maliciosos, ha lanzado su segunda gran versión con mejoras significativas en sigilo y capacidades de extracción de datos. Aunque esta actualización fue distribuida en marzo de 2025, investigadores acaban de publicar un análisis detallado. Desde su aparición en 2023, StealC ha ganado popularidad en la Dark Web por su bajo coste y eficacia, y en 2024 fue utilizado en campañas masivas de malvertising y bloqueos de sistema. Su nueva versión incluye soporte para archivos EXE, paquetes MSI y scripts PowerShell, cifrado RC4 para dificultar la detección, generación de builds personalizados y notificaciones en tiempo real a través de bots de Telegram. También puede tomar capturas de pantalla en configuraciones de múltiples monitores. Algunas funciones, como las verificaciones anti-VM, han sido eliminadas, posiblemente para aligerar el código. Se ha detectado su distribución reciente mediante el loader Amadey. Los expertos recomiendan no almacenar datos sensibles en navegadores y usar autenticación multifactor. 

El FBI desmantela la operación de phishing LabHost con 42 000 dominios

El FBI ha desmantelado LabHost, una importante plataforma de phishing como servicio (PhaaS) vinculada a 42 000 dominios de phishing. Activa entre 2021 y 2024, LabHost permitió a casi 10 000 usuarios suplantar la identidad de bancos, organismos gubernamentales y otras organizaciones para robar datos personales y financieros. Ofrecía sitios de phishing, phishing por SMS y herramientas para eludir la autenticación de dos factores. Las autoridades recuperaron más de un millón de credenciales robadas y casi 500 000 tarjetas de crédito comprometidas. El FBI ha publicado los datos de los dominios para ayudar a las organizaciones a identificar compromisos anteriores y recomienda revisar los registros de red en busca de actividades relacionadas. Esta acción pone de relieve la magnitud de la ciberdelincuencia comercializada y refuerza la importancia de la colaboración policial a nivel mundial en la prevención de las ciberamenazas.

Detectado malware en PyPI dirigido a desarrolladores de Discord 

Un equipo de investigación ha descubierto un paquete malicioso en el repositorio de software PyPI que se hacía pasar por una herramienta de depuración para desarrolladores de bots de Discord. Bajo el nombre discordpydebug, el paquete contenía un troyano de acceso remoto (RAT) capaz de ejecutar comandos, leer y modificar archivos, y exfiltrar datos sin el conocimiento del usuario. Desde su publicación el 21 de marzo de 2022, fue descargado más de 11.000 veces, afectando potencialmente a miles de sistemas. El malware se comunicaba con un servidor controlado por los atacantes y operaba mediante una rutina de sondeo continuo, lo que le permitía actuar como un bot totalmente controlado desde el exterior. La falta de documentación y la facilidad con la que se difundió, incluso en entornos de confianza como servidores de desarrollo de Discord, evidencian los riesgos en la cadena de suministro de software. Aunque el paquete ya ha sido eliminado de PyPI, el incidente subraya la necesidad urgente de mejorar la supervisión de los repositorios de código abierto.