Resumen semanal de los ciberataques 31 jul- 06 ago
GenAI suplantó la identidad de sitios web gubernamentales brasileños
Según información fechada el 5 de agosto de 2025, investigadores de Zscaler ThreatLabz han descubierto una sofisticada campaña de phishing dirigida a ciudadanos brasileños haciéndose pasar por entidades gubernamentales como el Departamento de Tráfico del Estado y el Ministerio de Educación. La campaña utiliza herramientas de IA generativa (DeepSite AI y BlackBox AI) para crear clones realistas de sitios web oficiales del gobierno. Estas páginas de phishing están diseñadas para recopilar información personal sensible y extraer pagos a través del sistema de pago instantáneo Pix de Brasil. Los actores de amenazas que están detrás de la campaña replican los elementos visuales y estructurales de los sitios web gubernamentales legítimos con sorprendente precisión, incluido el uso de TailwindCSS y FontAwesome para el estilo, e incluso comentarios de código detallados al estilo de los desarrolladores, fuertes indicadores de código generado por IA. Estas páginas de phishing se promocionan artificialmente a los primeros puestos de los resultados de los motores de búsqueda mediante técnicas de envenenamiento SEO, lo que aumenta significativamente la probabilidad de interacción del usuario. También hay indicios de que la campaña puede haberse distribuido por correo electrónico. Las campañas culminan con una solicitud de pago fraudulenta de 87,40 reales, supuestamente en concepto de tasas de procesamiento o registro, que se envían a través de Pix pero se transfieren directamente a los actores de la amenaza.
Un stealer de PXA distribuido a través de Telegram obtiene 200 000 contraseñas y datos de tarjetas de crédito
Según información fechada el 4 de agosto de 2025, SentinelLABS y Beazley Security han descubierto una campaña cibercriminal en evolución que aprovecha el PXA Stealer basado en Python, un infostealer atribuido a actores de amenazas de habla vietnamita. La operación integra técnicas avanzadas de antianálisis, carga lateral de software legítimo, automatización basada en Telegram e infraestructura sigilosa para facilitar el robo y la reventa de datos a gran escala. Se han identificado más de 4000 direcciones IP de víctimas únicas en 62 países, con concentraciones notables en Corea del Sur, Estados Unidos, Países Bajos, Hungría y Austria. Los actores de amenazas utilizan tácticas de phishing e ingeniería social para atraer a las víctimas y hacer que ejecuten archivos comprimidos maliciosos que incluyen aplicaciones legítimas y firmadas (por ejemplo, Haihaisoft PDF Reader o Microsoft Word 2013) con DLL maliciosas cargadas de forma lateral. Una vez ejecutado, el malware instala un intérprete de Python, obtiene más cargas útiles y archivos RAR cifrados, y finalmente despliega PXA Stealer. El malware extrae información confidencial, incluyendo más de 200 000 contraseñas únicas, cientos de registros de tarjetas de crédito y más de 4 millones de cookies del navegador, así como datos de autorrelleno, tokens de sesión y datos de monederos de criptomonedas. Estos datos se transmiten automáticamente a bots de Telegram y se canalizan a un mercado clandestino más amplio.
El ransomware Qilin expone en internet las credenciales de inicio de sesión en el panel de afiliados
Según información fechada el 1 de agosto de 2025, un conflicto interno dentro del grupo de ransomware Qilin salió a la luz pública cuando uno de sus afiliados, conocido como hastalamuerte, acusó a los operadores principales de Qilin de llevar a cabo una estafa de salida. El afiliado afirmó haber sido estafado por valor de 48 000 dólares y publicó esta acusación en un foro de la Dark Web el 31 de julio de 2025. Poco después de la acusación, un usuario llamado Nova, aparentemente afiliado a un grupo rival de ransomware, filtró las credenciales y el acceso al panel interno de afiliados de Qilin. Nova incluyó una advertencia en ruso, afirmando que el FBI y los investigadores de seguridad se habían infiltrado en la infraestructura de Qilin, y que cualquier fondo transferido a Qilin podría ser confiscado inmediatamente. La investigación posterior sobre hastalamuerte reveló una extensa huella técnica. La filial se encontró utilizando una muestra de Mimikatz empaquetada con Themida, subida a GitHub el 27 de julio de 2024. Dos archivos HTML actuaron como padres de ejecución para este payload, escribiendo finalmente file2.exe (una copia renombrada de Mimikatz) en el sistema local. El actor también subió un repositorio en ruso titulado Netexecru, una hoja de trucos para NetExec, un marco de trabajo de equipo rojo utilizado habitualmente para el acceso a credenciales, el movimiento lateral y la escalada de privilegios en entornos Windows Active Directory. Esto sugiere que el objetivo operativo de la filial eran las redes empresariales Windows.
Revelando el arsenal de amenazas en evolución del Interlock Group
Según datos del 31 de julio de 2025, investigadores de seguridad de eSentire (TRU) han identificado una sofisticada campaña de múltiples fases operada por el grupo de ransomware Interlock Group. Este grupo ha atacado empresas en Norteamérica y Europa, combinando phishing, ingeniería social y malware para robar datos, desplegar ransomware y mantener acceso prolongado. Durante toda la cadena de infección se emplean técnicas de ofuscación, cargas escalonadas, falsos mensajes de error, persistencia mediante claves del registro, herramientas de reconocimiento y exfiltración en archivos codificados en base64, almacenados en C:\Users\Public\*.log. Se destaca la necesidad de monitoreo de procesos, detección de LOLBins y formación en phishing para defenderse de estas amenazas complejas.
Lanzado un descifrador gratuito para el ransomware FunkSec potenciado por IA
Investigadores en ciberseguridad de Avast han publicado un descifrador gratuito para el ransomware FunkSec, una variante de malware que ahora se considera inactiva. FunkSec afectó a 113 víctimas confirmadas, basándose en su aparición en el sitio de filtraciones del grupo de ransomware. Inicialmente, el grupo se centraba únicamente en la exfiltración de datos y la extorsión, antes de pasar al cifrado completo de archivos. FunkSec es conocido por incorporar inteligencia artificial en aproximadamente el 20 % de sus operaciones. La IA se utilizó principalmente para generar plantillas de phishing y herramientas auxiliares, y no para el desarrollo central del malware. A pesar de su aparente sofisticación, muchas muestras del ransomware presentaban fallos y no se ejecutaban correctamente. El ransomware cifra los archivos utilizando el lenguaje de programación Rust y la biblioteca criptográfica orion-rs (versión 0.17.7), empleando el cifrado Chacha20 junto con MAC Poly1305 para garantizar la integridad de los datos. Los archivos cifrados llevan la extensión “.funksec” y cada carpeta contiene una nota de rescate llamada “README-{random}.md”. El descifrador de Avast se ofrece como un ejecutable de 64 bits y puede ejecutarse con privilegios de administrador a través de una interfaz tipo asistente. Los usuarios pueden seleccionar directorios específicos a descifrar y se recomienda realizar copias de seguridad de los archivos cifrados antes de comenzar el proceso.