Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de febrero de 2025, en el que destaca el auge de AsyncRAT, un troyano de acceso remoto (RAT) que sigue evolucionando como una grave amenaza dentro del panorama cibernético.

Este mes, los investigadores han descubierto que AsyncRAT se está utilizando en campañas cada vez más sofisticadas, aprovechando plataformas como TryCloudflare y Dropbox para distribuir malware. Esto refleja la creciente tendencia de explotar plataformas legítimas para evadir defensas de seguridad y garantizar persistencia en las redes objetivo. Los ataques suelen comenzar con correos electrónicos de phishing que contienen enlaces de Dropbox, lo que desencadena un proceso de infección en varias etapas que involucra archivos LNK, JavaScript y BAT.

“Los ciberdelincuentes están aprovechando plataformas legítimas para desplegar malware y evitar la detección. Las empresas deben mantenerse alerta e implementar medidas de seguridad proactivas para mitigar los riesgos de estas amenazas en evolución”, afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en febrero

• Las flechas se refieren al cambio de rango en comparación con el mes anterior.
• ↔ FakeUpdates – FakeUpdates (también conocido como SocGholish) sigue dominando el mercado, distribuyendo cargas útiles secundarias mediante descargas no autorizadas en sitios web comprometidos o maliciosos. Este malware suele estar vinculado al grupo de hackers ruso Evil Corp y sigue representando una amenaza significativa para organizaciones a nivel mundial.
• ↑ Androxgh0st – Androxgh0st, un malware basado en Python dirigido a aplicaciones Laravel, ha ganado popularidad. Analiza archivos .env expuestos, que a menudo contienen información confidencial como credenciales de inicio de sesión, que luego exfiltra. Una vez obtenido el acceso, se puede implementar malware adicional y explotar recursos en la nube.
• ↔ Remcos – Remcos, un troyano de acceso remoto (RAT), sigue siendo una cepa de malware de alto rendimiento, utilizada frecuentemente en campañas de phishing. Su capacidad para eludir mecanismos de seguridad, como el Control de Cuentas de Usuario (UAC), lo convierte en una herramienta versátil para los ciberdelincuentes. ↑ AsyncRAT: AsyncRAT es un troyano de acceso remoto (RAT) que ataca sistemas Windows y se identificó por primera vez en 2019.

Extrae información del sistema a un servidor de comando y control y puede ejecutar diversos comandos, como descargar complementos, finalizar procesos, realizar capturas de pantalla y actualizarse. Generalmente distribuido mediante campañas de phishing, AsyncRAT se utiliza para el robo de datos y la vulneración de sistemas.

• ↑ AgentTesla: AgentTesla es un RAT (troyano de acceso remoto) avanzado que funciona como registrador de pulsaciones de teclas y ladrón de contraseñas. Activo desde 2014, AgentTesla puede supervisar y recopilar la entrada de teclado y el portapapeles del sistema de la víctima, grabar capturas de pantalla y extraer credenciales introducidas para diversos programas instalados en el equipo de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). AgentTesla se vende abiertamente como un RAT legítimo, y los clientes pagan entre 15 y 69 dólares por las licencias de usuario.

Los 3 malware móviles más usados en febrero

El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de Necro y AhMyth.

• ↔ Anubis – Continúa siendo el principal troyano bancario en dispositivos móviles. Puede evadir la autenticación multifactor (MFA), registrar pulsaciones de teclado y realizar funciones de ransomware.
• ↑ Necro - es un troyano dropper de Android, que ha escalado posiciones. Permite a los atacantes ejecutar componentes maliciosos según comandos de sus creadores, facilitando una amplia gama de acciones dañinas en dispositivos infectados.
• ↓ AhMyth - un troyano de acceso remoto (RAT) dirigido a dispositivos Android, cuya prevalencia ha disminuido ligeramente. Sin embargo, sigue representando una amenaza significativa debido a su capacidad para extraer información sensible, como credenciales bancarias y códigos de autenticación multifactor (MFA).

Los sectores más atacados  en febrero

El mes pasado, Educación ascendió al primer puesto de los sectores más atacados a nivel mundial, seguido de Telecomunicaciones y Gobierno/Militar.

1. Educación.
2. Telecomunicaciones.
3. Gobierno/Militar.

Principales grupos de ransomware

Clop sigue siendo el grupo de ransomware más prevalente, responsable del 35% de los ataques publicados. Le siguen RansomHub y Akira.

• Clop – Continúa siendo un grupo importante en el mundo del ransomware, utilizando la táctica de "doble extorsión": si la víctima no paga, amenaza con publicar los datos robados.
• RansomHub – Operación de Ransomware-as-a-Service (RaaS) que se ha consolidado rápidamente tras el rebranding del ransomware Knight. Se ha destacado por sus campañas sofisticadas dirigidas a Windows, macOS y Linux.
• Akira – Un grupo de ransomware más reciente que se enfoca en Windows y Linux. Ha sido vinculado a campañas de phishing y explotación de vulnerabilidades en VPNs, convirtiéndose en una seria amenaza para las organizaciones.