El primer trimestre de 2025 ha sido un campo de batalla en el mundo de la ciberseguridad. Los ciberdelincuentes continuaron lanzando nuevas campañas agresivas y refinando sus métodos de ataque.
A continuación se muestra una descripción universal de cinco familias de malware notables, acompañadas de prospección realizados en entornos controlados.
NetSupport Rat Explotando la técnica ClickFix
A principios de 2025, los actores de amenaza comenzaron a explotar una técnica conocida como ClickFix para distribuir el Troya de camino remoto de NetSupport (RAT).
Este método implica inyectar páginas Captcha falsas en sitios web comprometidos, lo que lleva a los usuarios a ejecutar comandos de PowerShell maliciosos que descarguen y ejecuten la rata NetSupport.
Una vez instalado, esta rata otorga a los atacantes control total sobre el sistema de la víctima, permitiendo actividades como monitoreo de pantalla en tiempo positivo, manipulación de archivos y ejecución de comandos arbitrarios.
Principales características técnicas de la rata NetSupport
- Los atacantes pueden ver y controlar la pantalla de la víctima en tiempo positivo.
- Carga, descarga, modifica y elimina archivos en el sistema infectado.
- Ejecuta comandos del sistema y scripts de PowerShell de forma remota.
- Captura de texto copiado, incluidas contraseñas y datos confidenciales.
- Registra las pulsaciones de teclas de sucesor para el robo de credenciales.
- Inicia, se detiene y modifica los procesos y servicios del sistema.
- Se instala en carpetas de inicio, claves de registro o tareas programadas para sobrevivir a los reinicios.
- Utiliza inyección de proceso y ofuscación de código para eludir la detección.
- Mantiene una conexión sigilosa con los atacantes utilizando el tráfico secreto.
Posteriormente de ejecutar la carga útil de la rata NetSupport en el interior de cualquiera.
Ver sesión de prospección de ratas NetSupport
 |
| Archivo desconfiado hendido en el interior de cualquiera. |
Cuando NetSupport Rat infecta un sistema, establece inmediatamente una conexión con un servidor de comando y control (C2), lo que permite a los atacantes tratar la máquina comprometida de forma remota.
 |
| Conexión CNC detectada por cualquiera. |
A través de esta conexión, los atacantes pueden ejecutar comandos del sistema, implementar malware adicional y modificar la configuración del sistema.
Equipe tu equipo con Any.run’s Sandbox interactivo para analizar malware ilimitado en tiempo positivo, descubrir amenazas más rápido y robustecer sus defensas.
¡Comience su prueba gratuita hoy!
NetSupport Rat emplea múltiples tácticas, técnicas y procedimientos (TTP) para abastecer la persistencia, eludir la detección y compendiar datos del sistema. Los TTP esencia incluyen:
- Persistencia y ejecución: modifica las claves de inicio del registro, ejecuta scripts a través de wscript.exe.
- Descubrimiento: lee el nombre de la computadora, verifica el lengua del sistema y accede a las variables de entorno.
- Distracción de defensa y comunicación C2: deja caer ejecutables legítimos de Windows, crea objetos de conexión a Internet para control remoto.
Estas técnicas demuestran cómo la rata NetSupport establece el control mientras evita la detección, todas las cuales son visibles en cualquiera.
 |
| Los TTP principales utilizados por NetSupport Rat |
Ransomware astuto
El orden Lynx Ransomware-as-A-Service (RAAS) se conoce como una entidad enormemente organizada, que ofrece un software de afiliados estructurado y métodos de secreto robustos. Sobre la pulvínulo de la pulvínulo del ransomware INC precursor, Lynx ha mejorado sus capacidades y ha ampliado su ámbito, dirigido a una amplia viso de industrias en múltiples países.
El panel de afiliados de Lynx permite que sus afiliados configuren perfiles de víctimas, generen muestras de ransomware personalizadas y administren los horarios de mújol de datos en el interior de una interfaz dócil de usar. Adecuado a su enfoque estructurado, se convierte en uno de los ransomware más accesibles incluso para aquellos con experiencia técnica limitada.
Para incentivar la décimo, Lynx ofrece a los afiliados una décimo del 80% de los ingresos de rescate. El orden mantiene un sitio de fuga donde se publican datos robados si las víctimas no pagan el rescate.
Ataques importantes de Lynx en Q1
En el primer trimestre de 2025, el orden Lynx Ransomware-as-A-Service (RAAS) ha intensificado sus operaciones, dirigida a varias industrias con ataques sofisticados.
Particularmente, en febrero de 2025, Lynx se atribuyó la responsabilidad de violar a Brown y Hurley, un destacado concesionario de camiones australiano. El orden alegó el robo de aproximadamente 170 gigabytes de datos confidenciales, incluidos documentos de capital humanos, contratos comerciales, información del cliente y registros financieros.
En enero de 2025, Lynx todavía violó a Hunter Taubman Fischer & Li LLC, un despacho de abogados con sede en Estados Unidos especializado en leyes corporativas y de títulos.
Características técnicas principales del ransomware Lynx
- Sigla todos los archivos de forma predeterminada, incluidas unidades locales, acciones de red y medios extraíbles.
- Configurable a través de RAAS para orientar tipos de archivos específicos, carpetas o extensiones.
- Roba datos confidenciales antaño del secreto, exfiltrando documentos, credenciales e información financiera.
- Transferencias Los datos robados sobre canales cifrados, como HTTPS o protocolos de comunicación personalizados.
- Elimina las copias de la sombra de comba y deshabilita las funciones de recuperación de Windows para evitar la restauración.
- Cierra aplicaciones que pueden cerrar el secreto utilizando reiniciarManager.
- Utiliza técnicas de descarga de credenciales para extraer contraseñas almacenadas de navegadores, administrador de credenciales de Windows y dispositivos en red.
- Mantiene una conexión C2 con dominios basados en DGA y tráfico anonimizado a través de Tor.
- Detecta las máquinas virtuales y las cajas de arena, alterando el comportamiento para eludir el prospección.
- Se ejecuta en la memoria sin escribir archivos en el disco, evitando la detección.
Podemos observar el comportamiento del ransomware Lynx de primera mano en un entorno controlado. En el prospección de sandbox de Any., Posteriormente de ejecutar la carga útil Lynx, el sistema infectado se somete a varios cambios notables.
Ver sesión de prospección de ransomware Lynx
 |
| Fondo de escritorio cambiado en el interior de cualquiera. |
El fondo de escritorio se reemplaza con un mensaje de rescate, y los atacantes dejan una nota advertencia de que todos los datos han sido robados y encriptados. Se les indica a las víctimas que descarguen Tor para contactarlas.
 |
| Mensaje de ransomware dejado por los atacantes |
Sandbox todavía detecta cómo Lynx renombra sistemáticamente los archivos, lo que agrega su extensión. Por ejemplo, C: Users Admin Desktop Academicroad.rtf se convierte en C: Users Admin Desktop Academicroad.rtf.lynx.
 |
| Archivos que renombra con .lynx detectado por cualquiera. |
Docenas de archivos en todo el sistema se modifican de esta guisa, confirmando aún más su proceso de secreto. Estas son solo algunas de las muchas acciones destructivas que Lynx lleva a mango una vez en el interior de un sistema comprometido.
 |
| Modificación de archivos por lynx ransomware |
Asyncrat: Aprovechando las cargas aperos de Python y los túneles de TryCloudflare
A principios de 2025, los investigadores de ciberseguridad descubrieron una sofisticada campaña de malware que implementa Asyncrat, un troyano de camino remoto conocido por sus capacidades de comunicación asincrónicas eficientes.
Esta campaña se destaca oportuno al uso de las cargas aperos basadas en Python y la explotación de los túneles TryCloudflare para mejorar el sigilo y la persistencia.
Descripción universal de la condena de infección
El ataque se inicia con un correo electrónico de phishing que contiene una URL de Dropbox. Cuando los destinatarios hacen clic en el enlace, descargan un archivo zip que alberga un archivo de camino directo de Internet (URL).
Este archivo, a su vez, recupera un archivo de camino directo de Windows (LNK) a través de una URL de TryCloudflare. La ejecución del archivo LNK desencadena una serie de scripts, PowerShell, JavaScript y scripts por lotes, que descargan y ejecutan una carga útil de Python.
Esta carga útil es responsable de implementar múltiples familias de malware, incluidos Asyncrat, Venom Rat y Xworm.
Características técnicas de Asyncrat
- Permite a los atacantes ejecutar comandos, monitorear la actividad del sucesor y establecer archivos en el sistema comprometido.
- Capaz de robar información confidencial, incluidas credenciales y datos personales.
- Emplea técnicas para abastecer el camino a holgado plazo, como modificar los registros del sistema y utilizar las carpetas de inicio.
- Utiliza la ofuscación y el secreto para eludir la detección por soluciones de seguridad.
Adentro de la sesión de prospección de cualquier.
Ver sesión de prospección de asyncrat
 |
| Configuraciones maliciosas analizadas en el interior del entorno controlado |
Como podemos ver, Asyncrat se conecta a MasterPoldo02 (.) Kozow (.) Com sobre el puerto 7575, lo que permite a los atacantes remotos controlar máquinas infectadas. Cerrar este dominio y monitorear el tráfico a este puerto puede ayudar a preparar infecciones.
Encima, Asyncrat se instala en % AppData % para mezclar con aplicaciones legítimas y utiliza un mutex (asyncmutex_alosh) para evitar que se ejecuten múltiples instancias.
El malware todavía utiliza el secreto AES con una esencia y sal codificada, lo que dificulta que las herramientas de seguridad analicen sus comunicaciones.
 |
| Enigmático AES utilizado por Asyncrat |
Lumma Stealer: distribución basada en Github
A principios de 2025, los expertos en ciberseguridad descubrieron una campaña sofisticada que involucra a Lumma Stealer, un malware que roba información.
Los atacantes utilizaron la infraestructura de emanación de GitHub para distribuir este malware, explotando la confiabilidad de la plataforma para evitar medidas de seguridad.
Una vez ejecutado, Lumma Stealer inicia actividades maliciosas adicionales, incluida la descarga y la ejecución de otras amenazas como Sectoprat, Vidar, Cobeacon y Variantes adicionales de Lumma Stealer.
Características técnicas de Lumma Stealer
- Distribuido a través de las versiones de GitHub, aprovechando la infraestructura confiable para eludir la detección de seguridad.
- Roba credenciales del navegador, cookies, billeteras de criptomonedas e información del sistema.
- Envía datos robados a servidores remotos, lo que permite la exfiltración en tiempo positivo.
- Puede descargar y ejecutar malware adicional, incluidos Sectoprat, Vidar y Cobeacon.
- Utiliza modificaciones de registro y entradas de inicio para abastecer el camino.
- Detectable a través de herramientas de monitoreo de seguridad basadas en la red, revelando patrones de comunicación maliciosa.
Ver sesión de prospección de Lumma
 |
| Lumma Stealer analizado en el interior de cualquiera. |
Un examen detallado utilizando cualquiera.
Tras la ejecución, el malware se conecta a su servidor de comando y control, facilitando la exfiltración de datos confidenciales. El prospección todavía revela la activación de reglas de Suricata específicas:
 |
| Regla de Suricata desencadenada por Lumma Stealer |
La sesión de prospección todavía revela cómo Lumma roba credenciales de los navegadores web y exfiltrata datos personales:
 |
| Credenciales y robo de datos personales por Lumma Stealer |
InvisibleFerret: la amenaza silenciosa que acecha en ofertas de trabajo falsas
En una ola de ataques de ingeniería social, los ciberdelincuentes han estado aprovechando Invisibleferret, un sigiloso malware con sede en Python, para comprometer a las víctimas desprevenidas.
Disfrazado de software lícito en procesos de entrevistas de trabajo falsos, este malware se ha utilizado activamente en la campaña de entrevistas falsas, donde los atacantes posan como reclutadores para engañar a los profesionales para descargar herramientas maliciosas.
Características técnicas de invisibleferret
- El malware emplea scripts de Python desorganizados y ofuscados, lo que hace que el prospección y la detección sean desafiantes.
- InvisibleFerRet exploración y exfiltra activamente información confidencial, incluyendo código fuente, billeteras de criptomonedas y archivos personales.
- A menudo entregado como una carga útil secundaria por otro malware llamado Beaverilque es un ofuscado infusor y cargador basado en JavaScript.
- El malware establece la persistencia en el sistema infectado, asegurando el camino y el control continuos.
Un sujeto esencia del ataque invisibleferret es el despliegue de Beaverail, un módulo NPM desconfiado que ofrece un entorno de Python portátil (P.ZIP) para ejecutar el malware.
Actuando como la primera etapa en una condena de ataque de múltiples capas, Beavertail establece Invisibleferret, una puerta trasera sigilosa con mecanismos avanzados de ofuscación y persistencia, lo que dificulta la detección.
Al expedir invisibleferret a cualquiera de sandbox interactiva, podemos analizar su comportamiento en tiempo positivo:
Ver sesión de prospección InvisibleFerret
 |
| Invisibleferret Comportamiento analizado por cualquiera. Run Sandbox |
El malware comienza mediante la sumario de información del sistema, como la interpretación del sistema eficaz, el nombre de host, el nombre de sucesor y la geolocalización, utilizando servicios como IP-API.com, un método que todavía utiliza los drenadores de criptomonedas.
 |
| Información exfiltrada analizada en el interior de cualquiera. |
Las solicitudes maliciosas se mezclan con el tráfico frecuente, lo que hace que la detección sea desafiante. La interfaz de Any.Run destaca estas actividades, que muestra solicitudes de red en naranja y rojo debajo de la máquina potencial.
 |
| Las solicitudes maliciosas se combinan con tráfico lícito, todas dirigidas por el mismo script |
Al hacer clic en el pimpollo ATT y CK en cualquiera. Run’s Sandbox proporciona un desglose de los TTP de InvisibleFerret. Una detección de claves es T1016 (“Discovery de configuración de red del sistema”), que resalta cómo el malware reúne la gatina y los datos del sistema.
 |
| Los TTP principales utilizados por InvisibleFerret |
No dejes que las amenazas pasen desapercibidas: detectarlas con cualquiera.
El primer trimestre de 2025 se ha llenado de amenazas cibernéticas sigilosas y agresivas, desde operaciones de ransomware hasta robos de datos silenciosos. Pero los atacantes no tienen que ingresar.
Any. La caja de arena interactiva de Any.Run ofrece a las empresas el poder de analizar malware en tiempo positivo, descubrir comportamientos ocultos y robustecer las defensas antaño de que se intensifique un ataque.
Con cualquiera.
- Reúna los COI instantáneamente para acelerar la caza de amenazas y la respuesta de incidentes.
- Obtenga informes estructurados y profundos para una mejor visibilidad del comportamiento de malware.
- Mapas de plano para el entorno ATT y CK para comprender las tácticas y las técnicas utilizadas por los atacantes.
- Colabora sin problemas, compartiendo prospección en tiempo positivo en todos los equipos.
Regístrese para obtener una prueba de balde.
