AsyncRAT surge como una nueva amenaza mientras los ciberdelincuentes explotan plataformas legítimas, según Check Point Research

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de febrero de 2025, en el que destaca el auge de AsyncRAT, un troyano de acceso remoto (RAT) que sigue evolucionando como una grave amenaza dentro del panorama cibernético.

Este mes, los investigadores han descubierto que AsyncRAT se está utilizando en campañas cada vez más sofisticadas, aprovechando plataformas como TryCloudflare y Dropbox para distribuir malware. Esto refleja la creciente tendencia de explotar plataformas legítimas para evadir defensas de seguridad y garantizar persistencia en las redes objetivo. Los ataques suelen comenzar con correos electrónicos de phishing que contienen enlaces de Dropbox, lo que desencadena un proceso de infección en varias etapas que involucra archivos LNK, JavaScript y BAT.

"Los ciberdelincuentes están aprovechando plataformas legítimas para desplegar malware y evitar la detección. Las empresas deben mantenerse alerta e implementar medidas de seguridad proactivas para mitigar los riesgos de estas amenazas en evolución", afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en España en febrero
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

1. ↑ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 3,4% de las compañías españolas.
2. ↓FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en el 3,2% de las empresas en España.
3. ↑ AsyncRat –Troyano de acceso remoto (RAT) dirigido a sistemas Windows, identificado por primera vez en 2019. Extrae información del sistema hacia un servidor de comando y control y puede ejecutar diversas acciones, como descargar complementos, terminar procesos, capturar capturas de pantalla y actualizarse automáticamente. Se distribuye comúnmente a través de campañas de phishing para el robo de datos y la toma de control de sistemas. Ha impactado al 2,5% de los negocios en España.

Los tres malware móviles más usados en febrero
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de Necro y AhMyth.

1. ↔ Anubis – Continúa siendo el principal troyano bancario en dispositivos móviles. Puede evadir la autenticación multifactor (MFA), registrar pulsaciones de teclado y realizar funciones de ransomware.
2. ↑Necro - es un troyano dropper de Android, que ha escalado posiciones. Permite a los atacantes ejecutar componentes maliciosos según comandos de sus creadores, facilitando una amplia gama de acciones dañinas en dispositivos infectados.
3. ↓ AhMyth - un troyano de acceso remoto (RAT) dirigido a dispositivos Android, cuya prevalencia ha disminuido ligeramente. Sin embargo, sigue representando una amenaza significativa debido a su capacidad para extraer información sensible, como credenciales bancarias y códigos de autenticación multifactor (MFA).

Los sectores más atacados en Europa en febrero
El mes pasado, Educación ascendió al primer puesto de los sectores más atacados a nivel europeo, seguido de Telecomunicaciones y Gobierno/Militar.

1. Educación
2. Telecomunicaciones
3. Gobierno/Militar

Principales grupos de ransomware en diciembre
Clop sigue siendo el grupo de ransomware más prevalente, responsable del 35% de los ataques publicados. Le siguen RansomHub y Akira.

1. Clop – Continúa siendo un grupo importante en el mundo del ransomware, utilizando la táctica de "doble extorsión": si la víctima no paga, amenaza con publicar los datos robados.
2. RansomHub – Operación de Ransomware-as-a-Service (RaaS) que se ha consolidado rápidamente tras el rebranding del ransomware Knight. Se ha destacado por sus campañas sofisticadas dirigidas a Windows, macOS y Linux.
3. Akira– Un grupo de ransomware más reciente que se enfoca en Windows y Linux. Ha sido vinculado a campañas de phishing y explotación de vulnerabilidades en VPNs, convirtiéndose en una seria amenaza para las organizaciones.