< Back
Padlock with abstrack background

Tags:

Threat intelligence
12 August 2025

Resumen semanal de los ciberataques 29 mayo-04 junio

Crocodilus, el nuevo malware bancario que se expande por Europa y América 

El troyano bancario para Android conocido como Crocodilus ha evolucionado rápidamente desde su descubrimiento en marzo de 2025. Inicialmente limitado a campañas de prueba en Turquía, ahora se ha detectado en múltiples países europeos como España y Polonia, así como en Sudamérica, incluyendo Argentina y Brasil. Las últimas investigaciones muestran que está atacando a casi todos los bancos españoles, lo que indica una campaña específicamente dirigida al país. El malware utiliza anuncios maliciosos en redes sociales como Facebook para engañar a los usuarios y hacerse pasar por aplicaciones de bancos, casinos o actualizaciones de navegador. Entre sus novedades, Crocodilus puede agregar contactos falsos al dispositivo infectado (como un supuesto “Soporte del Banco”) para facilitar fraudes por ingeniería social. Además, incorpora mejoras técnicas para evitar su detección, como encriptación avanzada y ofuscación de código. Una de sus funciones más peligrosas es la recolección automatizada de frases semilla de monederos de criptomonedas, lo que permite a los atacantes tomar control de los activos digitales de las víctimas. 

Campaña masiva de criptojacking explota herramientas DevOps mal configuradas 

Investigadores de ciberseguridad han detectado una campaña global de criptojacking dirigida contra aplicaciones DevOps como Nomad, Consul, Docker y Gitea. El grupo responsable, identificado como JINX-0132, se aprovecha de configuraciones inseguras para desplegar software de minería de criptomonedas sin necesidad de malware personalizado ni servidores propios, utilizando versiones públicas del minero XMRig y repositorios de GitHub. El ataque destaca por su enfoque de “vivir del código abierto”, dificultando su detección y seguimiento. En el caso de Nomad, es la primera vez que se documenta su explotación en ataques reales. JINX-0132 aprovecha la posibilidad de ejecutar código remoto mediante APIs públicas sin autenticación, afectando incluso a servidores de alto rendimiento. Según los investigadores, el 25% de los entornos en la nube usan estas herramientas, y un 30% de los que están expuestos a Internet presentan fallos de configuración. Se recomienda seguir las prácticas de seguridad recomendadas por los desarrolladores para evitar ser víctima de este tipo de ataques. 

Descubren un nuevo malware que roba datos a través de falsas páginas CAPTCHA 

Investigadores de ciberseguridad han identificado un nuevo malware llamado EDDIESTEALER, un infostealer desarrollado en Rust que se propaga a través de campañas con CAPTCHA falsos. Los usuarios son engañados mediante páginas que simulan verificaciones de "No soy un robot", las cuales copian comandos maliciosos en el portapapeles para ejecutar código en PowerShell y descargar el malware. EDDIESTEALER roba credenciales, datos de navegadores y carteras de criptomonedas, entre otros, principalmente en sistemas Windows. El malware destaca por su sofisticación técnica: cifra cadenas mediante XOR, oculta llamadas a la API de Windows, se autoelimina usando flujos alternos de NTFS y usa técnicas avanzadas para evadir entornos de análisis. Además, recopila y transmite información del sistema a un servidor de mando y control (C2), adaptando su comportamiento según el entorno del usuario. Se han detectado variantes recientes con capacidades ampliadas como robo de contraseñas desde navegadores usando WebSocket y DevTools. El uso del lenguaje Rust complica su análisis y marca una tendencia creciente en el desarrollo de malware moderno. 

Malware oculto en falsos instaladores de herramientas de inteligencia artificial 

Investigadores de ciberseguridad han detectado una nueva oleada de amenazas cibernéticas que se hacen pasar por instaladores de herramientas de inteligencia artificial (IA). Entre ellas destacan los ransomware CyberLock y Lucky_Gh0$t, así como un malware destructivo recién identificado, denominado Numero. Estas amenazas se camuflan como aplicaciones legítimas de IA, explotando el auge de estas tecnologías en sectores como ventas, tecnología y marketing. CyberLock, desarrollado en PowerShell, encripta archivos y solicita rescates en Monero alegando, falsamente, que serán destinados a ayuda humanitaria. Lucky_Gh0$t, variante del ransomware Yashma, se distribuye como un supuesto instalador de ChatGPT, mientras que Numero inutiliza sistemas manipulando la interfaz gráfica de Windows tras hacerse pasar por una herramienta de creación de videos con IA. Los atacantes emplean técnicas como el posicionamiento engañoso en buscadores (SEO poisoning), redes sociales y plataformas como Telegram para distribuir estos archivos maliciosos. Las organizaciones corren el riesgo de comprometer datos confidenciales si descargan estas falsas herramientas, lo que subraya la necesidad de verificar cuidadosamente las fuentes y optar solo por proveedores confiables. 

Descubren PumaBot, una botnet que ataca dispositivos de vigilancia IoT 

Investigadores de ciberseguridad han identificado una nueva botnet denominada PumaBot, desarrollada en Go y diseñada para atacar dispositivos IoT basados en Linux, especialmente cámaras de vigilancia. A diferencia de otras amenazas, PumaBot no realiza escaneos masivos, sino que recibe objetivos específicos desde un servidor de mando y control (C2) y accede mediante fuerza bruta a través de SSH. Una vez dentro, ejecuta comandos remotos, se disfraza como un archivo legítimo del sistema y crea servicios persistentes para mantener el control del dispositivo. Además, inserta sus propias claves SSH para acceso continuo y despliega herramientas adicionales como “networkxm” y “ddaemon” para expandir sus capacidades y asegurar su supervivencia. Incluso reemplaza componentes clave del sistema como PAM para interceptar credenciales de acceso.