AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

FakeUpdates encabeza el ranking de amenazas globales mientras AsyncRAT mantiene su posición en el top 3

admin

Introducción

El panorama de la ciberseguridad continúa evolucionando a un ritmo acelerado, tal y como refleja el Índice Global de Amenazas de junio de 2025 elaborado por Check Point® Software Technologies Ltd. Este informe pone de manifiesto la proliferación de amenazas cada vez más sofisticadas y de múltiples etapas, con especial protagonismo de campañas maliciosas como FakeUpdates (también conocido como SocGholish) y la persistencia de troyanos de acceso remoto como AsyncRAT. El análisis detallado de estos vectores revela no solo su impacto en la superficie de ataque global, sino también la necesidad de reforzar los controles de seguridad en empresas de todos los sectores.

Contexto del Incidente o Vulnerabilidad

El informe de Check Point subraya un incremento notable en la actividad de malware modular y multietapa durante el mes de junio. FakeUpdates, una familia de malware que utiliza técnicas de ingeniería social para distribuir cargas útiles secundarias, se sitúa nuevamente en el primer puesto del ranking mundial de amenazas. A su vez, AsyncRAT, un troyano de acceso remoto empleado en campañas de espionaje y exfiltración, permanece entre las tres amenazas más detectadas globalmente.

Ambos actores aprovechan la dispersión y fragmentación de los entornos empresariales actuales, así como la falta de concienciación entre los usuarios, para introducirse en los sistemas y establecer persistencia. La popularidad de estos tipos de amenazas se debe, en gran parte, a su capacidad de evadir soluciones antimalware tradicionales y a su flexibilidad para desplegarse en infraestructuras heterogéneas.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

FakeUpdates (SocGholish) opera principalmente mediante la manipulación de sitios web comprometidos, presentando falsos mensajes de actualización de software (como navegadores o reproductores multimedia) para inducir la descarga e instalación del malware. Esta campaña utiliza técnicas de phishing y drive-by compromise, asociadas al vector MITRE ATT&CK T1189 (Drive-by Compromise). Una vez ejecutado, FakeUpdates puede desplegar payloads adicionales como Cobalt Strike, loaders de ransomware o herramientas para la exfiltración de datos.

Por su parte, AsyncRAT utiliza correos electrónicos de phishing con adjuntos maliciosos o enlaces hacia archivos de Microsoft Office o scripts ofuscados (VBS, JS). El troyano se caracteriza por su capacidad para establecer un canal de comunicación cifrado con el C2 (Command & Control), permitiendo la ejecución remota de comandos, registro de pulsaciones de teclas, captura de pantalla y exfiltración de credenciales. Las campañas recientes suelen explotar vulnerabilidades conocidas (CVE-2017-0199, CVE-2021-40444) y técnicas MITRE ATT&CK como T1566.001 (Phishing: Spearphishing Attachment) y T1218.011 (Signed Binary Proxy Execution).

Los Indicadores de Compromiso (IoC) más relevantes incluyen dominios de descarga asociados a SocGholish, hash MD5/SHA256 de archivos droppeados, rutas de persistencia en el registro de Windows y direcciones IP de C2 relacionadas con AsyncRAT. Se ha observado un uso recurrente de frameworks como Metasploit para el movimiento lateral y de Cobalt Strike como herramienta de post-explotación.

Impacto y Riesgos

FakeUpdates y AsyncRAT representan una amenaza significativa tanto en términos de alcance como de impacto operativo. Se estima que aproximadamente un 12% de las organizaciones a nivel mundial detectaron actividad relacionada con FakeUpdates en junio, mientras que AsyncRAT estuvo presente en el 7% de las empresas monitorizadas. Los sectores más afectados incluyen finanzas, retail, y manufactura, donde el acceso remoto no autorizado y la potencial exfiltración de información sensible pueden derivar en consecuencias graves: desde brechas de datos sancionadas bajo el Reglamento General de Protección de Datos (GDPR) hasta interrupciones operativas y pérdidas económicas directas.

Medidas de Mitigación y Recomendaciones

Para contrarrestar estas amenazas, los expertos recomiendan la implementación de soluciones EDR/XDR con capacidades de detección de comportamiento y análisis forense, así como el despliegue de gateways de correo avanzados con protección frente a archivos adjuntos y enlaces maliciosos. Es crucial mantener una política de parcheo riguroso de sistemas y aplicaciones, especialmente en lo relativo a Microsoft Office y navegadores web. Además, se aconseja la segmentación de redes y la monitorización de tráfico saliente en busca de patrones propios de canales C2.

La concienciación y formación continuada de los usuarios sigue siendo un pilar fundamental para prevenir la ejecución de payloads vía ingeniería social. El uso de listas negras de IoC, junto con la integración de feeds de amenazas actualizados, permite a los equipos SOC responder proactivamente ante nuevas campañas.

Opinión de Expertos

Varios analistas del sector destacan la profesionalización en la cadena de distribución de malware observada en FakeUpdates y AsyncRAT. Según Daniel Brecht, analista sénior de amenazas, “la modularidad y adaptabilidad de estos troyanos permite a los atacantes pivotar rápidamente y desplegar cargas útiles personalizadas según el entorno comprometido”. Por su parte, Marta Jiménez, CISO de una multinacional tecnológica, subraya la importancia de “combinar inteligencia de amenazas con controles Zero Trust para mitigar el riesgo de movimientos laterales y persistencia”.

Implicaciones para Empresas y Usuarios

La persistencia de FakeUpdates y AsyncRAT en el top global de amenazas obliga a las organizaciones a revisar y fortalecer su postura de seguridad. La adopción de marcos regulatorios como NIS2 y el endurecimiento de los requisitos de notificación de incidentes bajo GDPR implican una mayor presión sobre los responsables de ciberseguridad. No solo se trata de evitar el compromiso inicial, sino de limitar el impacto ante la eventual intrusión, asegurando la resiliencia del negocio y la protección de la información crítica.

Conclusiones

El informe de Check Point para junio de 2025 confirma la tendencia hacia amenazas más complejas y persistentes, encabezadas por FakeUpdates y AsyncRAT. La combinación de ingeniería social, explotación de vulnerabilidades y herramientas de post-explotación refuerza la necesidad de una defensa en profundidad y una vigilancia continua. Solo mediante una aproximación holística y proactiva podrán las organizaciones reducir el riesgo y anticipar futuros vectores de ataque en un entorno digital cada vez más hostil.

(Fuente: www.cybersecuritynews.es)