En el habitual juego de fuerzas entre defensores y actores maliciosos, en la segunda mitad de 2024 hemos visto a los ciberdelincuentes encontrando lagunas de seguridad y formas innovadoras de ampliar su grupo de víctimas. Como resultado, surgieron nuevos vectores de ataque y métodos de ingeniería social, nuevas amenazas que se disparan en nuestra telemetría y operaciones de desmantelamiento que provocan movimientos en las filas de los grupos criminales establecidos.
Los infostealers son una de las categorías de amenazas que han experimentado una reorganización, ya que el malware Agent Tesla, dominante durante mucho tiempo, ha sido destronado por Formbook, una amenaza bien establecida diseñada para robar una amplia variedad de datos sensibles. A pesar de que existe desde hace casi una década, Formbook sigue atrayendo a una amplia base de usuarios criminales gracias a su modelo de malware como servicio (MaaS) y a su continuo desarrollo.
Lumma Stealer, un MaaS que surgió en la escena de los infostealers, es cada vez más buscado por los ciberdelincuentes: apareciendo en varias campañas maliciosas notables en H2 2024; la telemetría de ESET vio sus detecciones dispararse casi un 400% entre los períodos de presentación de informes. RedLine Stealer, otro conocido «infostealer as a service», tuvo un destino muy diferente: tras ser desmantelado por las autoridades internacionales en octubre de 2024, RedLine Stealer parece haber llegado al final de su vida. Sin embargo, podemos esperar que su desaparición provoque la expansión de otras amenazas similares, deseosas de ocupar su lugar.
Como era de esperar con las criptomonedas alcanzando valores récord en el segundo semestre de 2024, los datos de las carteras de estos activos digitales fueron uno de los principales objetivos de los actores maliciosos. En nuestra telemetría, esto se reflejó en un aumento de las detecciones de robos de criptomonedas en múltiples plataformas. Curiosamente, el aumento fue más drástico en macOS, donde el llamado Password Stealing Ware (programa de robo de contraseñas), dirigido principalmente a las credenciales de criptobilleteras, se duplicó en comparación con el primer semestre. Además, las amenazas financieras en Android, dirigidas tanto a aplicaciones bancarias como a monederos de criptomonedas, aumentaron un 20 %.
Tanto los usuarios de Android como los de iOS deben estar atentos a un nuevo vector de ataque, detectado y analizado por los investigadores de ESET en el segundo semestre de 2024. Los cibercriminales han aprovechado las tecnologías Progressive Web App (PWA) y WebAPK para eludir las medidas de seguridad tradicionales vinculadas a las aplicaciones móviles. Dado que ni las PWA ni las WebAPK requieren que los usuarios concedan permisos explícitos para instalar aplicaciones de fuentes desconocidas, los usuarios de móviles pueden acabar instalando involuntariamente aplicaciones maliciosas que roban credenciales bancarias. Y a menos que se produzca un cambio en la forma en que las plataformas móviles abordan estas tecnologías, prevemos que surgirán campañas de phishing más sofisticadas y variadas utilizando PWA y WebAPK.
En cuanto a las redes sociales, podemos decir que se han enturbiado, con una avalancha de nuevas estafas que utilizan vídeos deepfake y publicaciones que simulan se empresas conocidas para atraer a las víctimas a esquemas de inversión fraudulentos. Estas estafas, rastreadas por ESET como HTML/Nomani, experimentaron un aumento del 335% en las detecciones entre los períodos de informes, y no esperamos que su crecimiento se ralentice.
El segundo semestre de 2024 también dio lugar a una nueva estafa dirigida a usuarios de plataformas populares de reservas de alojamiento, como Booking.com y Airbnb. Utilizando un conjunto de herramientas llamado Telekopye, desarrollado originalmente para estafar a personas en mercados en línea, los estafadores utilizan cuentas comprometidas de proveedores de alojamiento legítimos para identificar a las personas que han reservado una estancia recientemente y enviarles páginas de pago fraudulentas.
El panorama del ransomware se remodeló con el desmantelamiento LockBit, lo que creó un vacío que llenaron otros actores. RansomHub, un ransomware como servicio detectado por primera vez en H1 2024, acumuló cientos de víctimas a finales de H2 2024, estableciéndose como el nuevo actor dominante.
Para leer el informe completo ingrese aquí:
Sigue a ESET research on Twitter para obtener actualizaciones periódicas sobre tendencias clave y principales amenazas.
Para más información sobre como la inteligencia de amenazas puede mejorar la postura de ciberseguridad de su organización, visite la página de ESET Threat Intelligence.
