Expertos de Kaspersky alertan sobre la evolución de JanelaRAT, una amenaza que ahora combina robo de credenciales con la capacidad de interceptar y manipular operaciones bancarias en tiempo real.

Investigadores de Kaspersky GReAT detectaron y analizaron una nueva versión de JanelaRAT, que se hacía pasar por una aplicación legítima de pixel art. En línea con intrusiones y campañas previas, los principales objetivos de los actores detrás de esta amenaza son usuarios bancarios en América Latina, con especial enfoque en clientes de instituciones financieras en Brasil y México.

Con esta nueva versión del malware, los atacantes manipulan al usuario para que interactúe con una pantalla superpuesta personalizada sobre la interfaz real de banca en línea, lo que les permite iniciar el secuestro de la sesión bancaria. Según la telemetría de Kaspersky, en 2025 se registraron 14.739 ataques en Brasil y 11.695 en México relacionados con JanelaRAT.

JanelaRAT es un troyano de acceso remoto (RAT), una variante fuertemente modificada del antiguo BX RAT de 2014, que apunta principalmente a usuarios en América Latina, especialmente en sectores bancarios, fintech y de criptomonedas. El malware utiliza una cadena de infección de múltiples etapas que comienza con correos de phishing que contienen scripts maliciosos en VBS dentro de archivos comprimidos, los cuales son abiertos por los usuarios.

En esta nueva versión (versión 33), Kaspersky ha observado variaciones en las cadenas de infección dependiendo de la variante distribuida. La campaña más reciente emplea la técnica de DLL sideloading. La DLL cargada es, en realidad, JanelaRAT, entregado como carga final. Este monitorea la actividad de la víctima, intercepta interacciones bancarias sensibles y establece un canal interactivo para reportar información a los atacantes. Además, rastrea la presencia y rutina del usuario para determinar el mejor momento para ejecutar operaciones remotas.

Sistema de superposición engañosa (decoy overlay)

La nueva versión de JanelaRAT implementa una táctica interactiva diseñada para capturar credenciales bancarias y evadir la autenticación multifactor. Cuando detecta una ventana bancaria, el malware despliega una pantalla completa con una imagen enviada por los atacantes que imita interfaces legítimas de bancos o del sistema.

Luego, bloquea la interacción de la víctima mediante cuadros de diálogo controlados por los atacantes. Las acciones dentro de estos cuadros corresponden a operaciones específicas, como la captura de contraseñas o de tokens de autenticación (MFA), entre otras. Entre los engaños utilizados se incluyen pantallas falsas de carga, simulaciones de actualizaciones de Windows en pantalla completa y otros elementos similares.

Además, el malware ajusta el tamaño de la superposición, analiza múltiples pantallas y carga elementos engañosos para distraer al usuario o incluso ocultar temporalmente ventanas legítimas de aplicaciones.

Ejemplos de cuadros de diálogo de MS Windows mostrados por los atacantes a la víctima: captura de contraseñas, captura de tokens/MFA, pantalla de carga falsa.

“JanelaRAT sigue siendo una amenaza activa y en evolución, con intrusiones que mantienen características consistentes pese a las modificaciones continuas. Hemos seguido su evolución durante algún tiempo, observando variaciones tanto en el malware como en su cadena de infección, incluyendo variantes específicas por país. Esta nueva versión representa un avance significativo en las capacidades de los atacantes, al combinar múltiples canales de comunicación, monitoreo completo de la víctima, superposiciones interactivas, inyección de entradas y funciones robustas de control remoto. Además, está diseñado para minimizar su visibilidad y adaptar su comportamiento ante la detección de software antifraude”, comenta Maria Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.

Para mantenerse protegido frente a este tipo de amenazas, Kaspersky recomienda:

• Ser cauteloso al abrir o descargar archivos recibidos por mensajería o correo electrónico, ya que pueden contener malware.
• Utilizar una solución de seguridad sólida en todos los dispositivos, como Kaspersky Premium, que puede detectar y bloquear amenazas.
• Activar la opción de “mostrar extensiones de archivo” en Windows para identificar archivos potencialmente maliciosos. Extensiones como “.exe”, “.vbs” o “.scr” pueden ser señales de alerta.
• Prestar atención a notificaciones por correo electrónico, ya que los ciberdelincuentes suelen suplantar tiendas en línea o bancos para inducir a hacer clic en enlaces maliciosos.

Origen

Una vez instalado, los atacantes emplean herramientas diseñadas para robar contraseñas almacenadas en los navegadores Chrome y Microsoft Edge.

Investigadores de Kaspersky descubrieron un nuevo troyano de acceso remoto (RAT) distribuido mediante archivos de protector de pantalla maliciosos, presentados como documentos financieros y enviados a través de Skype hasta marzo de 2025, momento en el que comenzó a utilizar otros canales, siendo las PyMEs de distintos países, el sector más afectado por este ciberataque.

El actor de amenaza desplegó un nuevo troyano de acceso remoto (RAT), denominado GodRAT, que fue detectado en el código fuente de un cliente tras ser subido a un escáner en línea ampliamente utilizado en julio de 2024. Pequeñas y Medianas Empresas de Emiratos Árabes Unidos, Hong Kong, Jordania y Líbano estuvieron entre los objetivos de esta campaña.

Para evitar ser detectados, los atacantes escondieron el malware dentro de archivos de imagen que parecían mostrar datos financieros. Una vez abierto, este malware se conecta a un servidor remoto para descargar GodRAT. Luego, recopila información básica del equipo afectado, como el sistema operativo, el nombre del ordenador, los programas instalados, la cuenta de usuario y si hay algún software de seguridad activo.

GodRAT es compatible con plugins adicionales y, una vez instalado, los atacantes utilizan el plugin FileManager para explorar los sistemas de la víctima y emplean herramientas diseñadas para robar contraseñas almacenadas en los navegadores Chrome y Microsoft Edge. Además de GodRAT, también utilizan AsyncRAT como implante secundario para mantener un acceso prolongado.

«GodRAT parece ser una evolución de AwesomePuppet, reportado por Kaspersky en 2023 y probablemente vinculado al APT Winnti. Sus métodos de distribución, parámetros distintivos en la línea de comandos, similitudes de código con Gh0st RAT y artefactos compartidos — como una firma digital distintiva — sugieren un origen común. A pesar de tener casi dos décadas de antigüedad, las bases de código de implantes heredados como Gh0st RAT siguen siendo utilizadas activamente por actores de amenaza, quienes frecuentemente las personalizan y reconstruyen para atacar a una amplia variedad de víctimas. El descubrimiento de GodRAT demuestra cómo estas herramientas conocidas desde hace mucho tiempo pueden seguir siendo relevantes en el panorama actual de la ciberseguridad», comenta Lisandro Ubiedo, analista Senior de Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Para mantenerse protegido contra este, y otros actores de amenazas, los expertos de Kaspersky recomiendan:

• Actualizar regularmente el sistema operativo, el navegador, el antivirus y otros programas. Los delincuentes suelen aprovechar vulnerabilidades en el software para comprometer los sistemas.
• Activar la opción “Mostrar extensiones de archivo” en la configuración de Windows. Esto facilita la identificación de archivos potencialmente maliciosos. Como los troyanos son programas, se debe tener especial cuidado con extensiones como “.exe”, “.vbs” y “.scr”. Es importante mantenerse alerta, ya que muchos tipos de archivos aparentemente inofensivos también pueden ser peligrosos. Los estafadores pueden utilizar varias extensiones para hacer pasar un archivo malicioso por un video, una foto o un documento (por ejemplo: hot-chics.avi.exe o doc.scr).
• Para proteger a la empresa contra este tipo de amenazas, utilice las soluciones de la línea de productos Kaspersky Next, que ofrecen protección en tiempo real, visibilidad de amenazas, así como capacidades de investigación y respuesta de EDR y XDR para organizaciones de cualquier tamaño y sector.

Encuentre más información de este actor de amenazas en Securelist.com

Origen

Los atacantes utilizan archivos torrent que pretenden ser películas populares para atraer a los usuarios particulares, mientras que en entornos corporativos usan e-mails con supuestas amenazas legales.

Kaspersky ha descubierto una campaña maliciosa que escala rápidamente y se dirige a usuarios corporativos con Efimer, un troyano diseñado para robar y reemplazar direcciones de billeteras de criptomonedas. Las primeras versiones de Efimer aparecieron en octubre de 2024 y se distribuían a través de sitios web de WordPress comprometidos. Sin embargo, desde junio de 2025, el malware también comenzó a propagarse mediante correos electrónicos de phishing que simulaban provenir de un bufete de abogados. Estos mensajes amenazaban a los destinatarios con supuestas demandas por infracción de patentes vinculadas a nombres de dominio, con el fin de engañarlos y convencerlos de descargar el software malicioso.

Es este enfoque le permite a Efimer construir su propia infraestructura maliciosa y seguir propagándose a nuevos dispositivos.Los expertos deKaspersky informaron que entre octubre de 2024 y julio de 2025, más de 5,000 usuarios —tanto individuos como organizaciones— fueron víctimas del troyano Efimer, con un impacto particularmente fuerte en América Latina con Brasil cómo blanco de ataque principal. Usuarios de la India, España, Rusia, Italia y Alemania también fueron afectados por este malware.

“Este troyano es notable por su doble estrategia de propagación, que ataca tanto a usuarios individuales como a entornos corporativos con diferentes tácticas. Para los usuarios particulares, los atacantes utilizan archivos torrent que pretenden ser películas populares para atraer a las víctimas, mientras que en entornos corporativos, dependen de correos electrónicos fraudulentos que contienen amenazas legales. Es crucial destacar que en ambos casos, el compromiso solo ocurre si el usuario descarga y ejecuta activamente el archivo malicioso”, explica Leandro Cuozzo, Analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Para evitar ser víctimas de este tipo de campañas maliciosas, los expertos de Kaspersky recomiendan a usuarios corporativos e individuales:

• No descargar archivos de fuentes desconocidas o no confiables.
• Verificar cuidadosamente la legitimidad de los remitentes de correo electrónico y asegurarse de que las bases de datos de antivirus se actualicen regularmente.
• Evitar hacer clic en enlaces o abrir archivos adjuntos en correos electrónicos no solicitados o de spam para reducir el riesgo de infección por malware.
• Adherirse a las mejores prácticas, lo que incluye actualizaciones de software regulares, imponer contraseñas fuertes y autenticación de dos factores, así como la supervisión continua para detectar signos de compromiso.
• Instalar una solución de seguridad confiable y seguir sus recomendaciones de los departamentos de Seguridad Informática. Las soluciones seguras resolverán la mayoría de los problemas automáticamente y enviarán alertas.
• Para los desarrolladores y administradores de sitios web: es esencial implementar medidas de seguridad robustas para proteger su infraestructura contra accesos no autorizados y la propagación de malware.

El informe completo se puede encontrar en Securelist.com.

Origen

Kaspersky detectó SparkKitty, un malware que se oculta en aplicaciones móviles para acceder a fotos del usuario y extraer datos vinculados a criptomonedas.

Investigadores de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que ataca teléfonos inteligentes con sistemas operativos iOS y Android. Este malware envía a los atacantes imágenes del teléfono infectado e información sobre el dispositivo. El malware estaba incrustado en aplicaciones relacionadas con criptomonedas y apuestas, así como en una aplicación de TikTok troyanizada, y fue distribuido tanto en App Store como en Google Play, además de en sitios web fraudulentos. Los expertos sugieren que el objetivo de los atacantes es robar activos en criptomoneda.

Kaspersky ha informado a Google y Apple sobre las aplicaciones maliciosas. Algunos detalles técnicos indican que esta nueva campaña podría estar relacionada con SparkCat, un troyano detectado anteriormente que fue el primero en su tipo en atacar dispositivos iOS. SparkCat incluía una función de reconocimiento óptico de caracteres (OCR), que le permitía revisar las galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de criptomonedas o contraseñas. El caso de SparkKitty marca la segunda vez en un año que los expertos de Kaspersky detectan un troyano ladrón en la App Store.

En la App Store, el troyano se hacía pasar por una aplicación relacionada con criptomonedas llamada ?coin. En páginas de phishing que imitaban la tienda oficial de aplicaciones de iPhone, el malware se distribuía bajo la apariencia de aplicaciones de TikTok y apuestas.

“Uno de los métodos que usaron los atacantes para distribuir el troyano fue a través de sitios web falsos, donde intentaban infectar los iPhones de las víctimas. Si bien iOS limita la instalación de aplicaciones fuera de la App Store, existen métodos legítimos para hacerlo, como el uso de perfiles de aprovisionamiento y herramientas para desarrolladores. Esta campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados empresariales para distribuir apps maliciosas. En el caso de la versión infectada de TikTok, que funcionaba como un mod de la aplicación, durante el proceso de inicio de sesión, el malware no solo robaba fotos de la galería del dispositivo, sino que también insertaba enlaces a una tienda sospechosa dentro del perfil del usuario. Esta tienda aceptaba únicamente criptomonedas como forma de pago, lo que refuerza las sospechas sobre su uso con fines maliciosos”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky

En el caso del sistema Android, los atacantes apuntaron a usuarios tanto en sitios web de terceros como en Google Play, haciendo pasar el malware por varios servicios de criptomonedas. Por ejemplo, una de las aplicaciones infectadas —un mensajero llamado SOEX con función de intercambio de criptomonedas— fue descargada más de 10.000 veces desde la tienda oficial.

Los expertos también encontraron archivos APK de aplicaciones infectadas (que se pueden instalar directamente en teléfonos Android, sin pasar por las tiendas oficiales) en sitios web de terceros que probablemente están relacionados con la campaña maliciosa detectada. Estas apps se presentaban como proyectos de inversión en criptomonedas. Los sitios web en los que se alojaban estas aplicaciones se anunciaban en redes sociales, incluido YouTube.

“Una vez instaladas, las aplicaciones funcionaban tal como se describía, sin embargo, en segundo plano enviaban a los atacantes las fotos de la galería del teléfono. Estos pueden intentar luego encontrar datos confidenciales en las imágenes, como frases de recuperación de billeteras de criptomonedas con el fin de acceder a los activos de las víctimas. Hay señales indirectas de que los atacantes están interesados en los activos digitales de las personas: muchas de las aplicaciones infectadas estaban relacionadas con criptomonedas, y la app de TikTok ‘troyanizada’ también tenía una tienda integrada que solo aceptaba pagos en cripto”, agregó el experto.

Para evitar convertirse en víctima de este malware, los expertos de Kaspersky recomiendan:

• Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la vuelvas a usar hasta que se publique una actualización que corrobore que su funcionalidad maliciosa ya no está presente.
• Si una app solicita acceso a tu galería de fotos, asegúrate de que realmente lo necesita. Conceder permisos innecesarios puede facilitar el robo de imágenes con información sensible.
• Evita guardar en tu galería capturas de pantalla con información sensible, como frases de recuperación de billeteras de criptomonedas o bien, tus claves de acceso. Las contraseñas, por ejemplo, pueden almacenarse en aplicaciones especializadas como Kaspersky Password Manager.
• Usa un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware. Debido a la arquitectura del sistema operativo de Apple, la solución de Kaspersky para iOS muestra una advertencia si detecta un intento de transferencia de datos al servidor del atacante, y bloquea dicha conexión.

Origen

El grupo brasileño ha crecido tanto que lidera las estadísticas en América Latina y ahora ocupa la 6.ª posición entre los troyanos que más realizan ataques en el mundo. Argentina figura entre sus principales objetivos.

En marzo de este año, en una operación coordinada con la Interpol y otros agentes internacionales, la Policía Federal de Brasil arrestó a cinco individuos responsables del troyano bancario brasileño Grandoreiro. Sin embargo, Kaspersky reveló que las actividades no se detuvieron y que este año ya se han identificado dos nuevas versiones. A nivel mundial, el troyano ha sido responsable de 150,000 intentos de ataque, dirigidos a clientes bancarios en 45 países y más de 276 billeteras digitales. En Argentina, Kaspersky ha bloqueado 6400 ataques. Mientras que en Brasil, el troyano está programado para realizar fraudes en 52 instituciones financieras, y la empresa de seguridad ha bloqueado más de 56,000 ataques desde enero.

Kaspersky jugó un papel crucial al colaborar con las fuerzas de seguridad mundiales e Interpol para identificar y capturar a los responsables, proporcionando muestras de malware obtenidas en cibercrímenes en Brasil y España durante investigaciones entre 2020 y 2022. “El monitoreo de IPs proporcionó datos importantes para la investigación. Junto con otras informaciones obtenidas durante la investigación, fue posible identificar a los delincuentes responsables. La investigación continuó hasta llegar a su verdadero domicilio. Sin embargo, a medida que continúan los ataques, seguimos monitoreando constantemente las actividades del grupo y estamos en contacto con los expertos de Kaspersky”, explicó Yuri do Amaral Nobre Maia, jefe del servicio de investigación de crímenes de alta tecnología de la Policía Federal Brasileña.

El seguimiento de las investigaciones por parte de los expertos de Kaspersky ha resultado en la identificación de dos nuevas versiones del malware, ambas encontradas inicialmente en México. La primera es una versión ampliada del código original, descubierta a mediados del año, que tenía como objetivo 1,367 organizaciones financieras en 45 países. En una actualización reciente (finales del tercer trimestre), la lista de objetivos aumentó a más de 1,700 organizaciones.

La segunda versión, encontrada recientemente (tercer trimestre de 2024), es una versión "light", basada en el código completo, pero reducida para atacar específicamente a 30 bancos mexicanos, lo que representa una reducción del 30% en comparación con la versión anterior. A pesar de esta focalización, la versión light fue responsable de 15,000 intentos de ataque.

El grupo, activo desde 2016, utiliza mensajes falsos masivos (spam) y técnicas de ingeniería social para engañar a las víctimas e instalar el Grandoreiro. Una vez infectados, se roban datos confidenciales, especialmente bancarios. Siguiendo un modelo de "malware como servicio" (MaaS), el Grandoreiro permite que otros ciberdelincuentes lo compren para realizar fraudes financieros en distintos países.

Según el Panorama de Amenazas 2024 de Kaspersky, el Grandoreiro se ha convertido en el troyano bancario más activo en América Latina y ocupa el sexto lugar a nivel mundial, siendo responsable del 5% de todos los intentos de ataque bloqueados por la empresa de seguridad en el mundo. Los países más afectados son Brasil (56,000 bloqueos), México (51,000), España (11,000), Argentina (6,400) y Perú (4,400).

"Las recientes actualizaciones del código destacan la naturaleza evolutiva de esta amenaza. Las versiones fragmentadas y más ligeras podrían expandirse más allá de México y otras regiones, incluyendo fuera de América Latina. Sin embargo, creemos que solo unos pocos afiliados de confianza tienen acceso al código fuente del malware para desarrollar estas versiones personalizadas. El Grandoreiro opera de manera diferente al modelo tradicional de 'Malware como Servicio'. No encontrarás anuncios en foros clandestinos vendiendo el paquete Grandoreiro; en cambio, su acceso parece estar limitado", comentó Fabio Marenghi, investigador líder de seguridad en Kaspersky.

Origen

Origen

Los expertos de Kaspersky han identificado a "Coyote", un nuevo y sofisticado troyano bancario que utiliza tácticas de evasión avanzadas para robar información financiera confidencial y que tiene como objetivo a más de 60 instituciones financieras, principalmente en Brasil. Según los investigadores, el troyano utiliza el instalador de Squirrel para su distribución, un método poco conocido para la diseminación de malware.

En vez de tomar el camino habitual con instaladores conocidos, Coyote utiliza una herramienta relativamente nueva llamada Squirrel para instalar y actualizar aplicaciones de escritorio de Windows. De esta manera, oculta su cargador de etapa inicial pretendiendo que es solo un empaquetador de actualizaciones.

Lo que hace que Coyote sea aún más interesante es el uso de Nim, un moderno lenguaje de programación multiplataforma que lo carga en la etapa final del proceso de infección. Esto se alinea con una tendencia observada por Kaspersky en la que los ciberdelincuentes utilizan lenguajes multiplataforma menos populares, lo que demuestra su adaptabilidad a las últimas tendencias tecnológicas.

El objetivo de Coyote coincide con el comportamiento típico de los troyanos bancarios: monitorea el acceso a sitios web bancarios específicos. Una vez que se accede al sitio web, Coyote se comunica con su servidor de comando y control mediante canales SSL con autenticación mutua. El uso de comunicación cifrada por parte del troyano y su capacidad para realizar acciones específicas como el registro de teclados y la captura de pantalla resaltan su naturaleza avanzada. Incluso, puede solicitar contraseñas específicas de tarjetas bancarias y configurar una página falsa para adquirir credenciales de usuario.

Los datos de telemetría de Kaspersky muestran que alrededor del 90% de las infecciones de Coyote se encuentran en Brasil, lo que causa un impacto importante en la ciberseguridad financiera de la región.

“En los últimos tres años, el número de ataques de troyanos bancarios se ha casi duplicado, llegando a más de 18 millones en 2023. Esto demuestra cómo los desafíos de seguridad en línea están aumentando. Mientras nos enfrentamos al creciente número de ciberamenazas, es realmente importante que las personas y las empresas protejan sus activos digitales. El surgimiento de Coyote, un nuevo tipo de troyano bancario brasileño, nos recuerda que debemos tener cuidado y utilizar las últimas defensas para mantener segura nuestra información valiosa", comenta Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

Para que los usuarios se protejan contra amenazas financieras, Kaspersky recomienda:

• Instale únicamente aplicaciones de fuentes confiables.
• Nunca abra enlaces o documentos incluidos en mensajes inesperados o sospechosos.
• Utilice una solución de seguridad confiable como Kaspersky Premium que lo proteja a usted y a su infraestructura digital contra una amplia gama de amenazas cibernéticas financieras.

Para proteger su empresa del malware financiero, los expertos en seguridad de Kaspersky recomiendan:

• Instruya a sus empleados sobre cómo proteger el entorno corporativo a través de cursos de capacitación personalizados, como los que se brindan en Kaspersky Automated Security Awareness Platform. Para la protección de contraseñas es importante que los colaboradores comprendan los peligros de una fuga de datos y las consecuencias que esta puede tener para la empresa.
• Establezca una política para el acceso a los activos corporativos, incluidos los buzones de correo electrónico, carpetas compartidas y documentos que se encuentran en línea. Manténgala actualizada y elimine el acceso si un empleado deja la empresa. Use un software intermediario de seguridad de acceso a la nube que ayuda a administrar y monitorear la actividad de los empleados en este tipo de servicios y haga cumplir las políticas de seguridad.
• Instale las últimas actualizaciones y parches para todo el software utilizado.

Todos los productos de Kaspersky detectan la amenaza como HEUR:Trojan-Banker.MSIL.Coyote.gen.

El reporte completo está disponible en Securelist: https://securelist.lat/coyote-multi-stage-banking-trojan/98404/

Origen

Los investigadores de Kaspersky han descubierto una cepa poco convencional de malware para macOS. Esta familia de software malicioso, previamente desconocida, se distribuye discretamente a través de aplicaciones pirateadas y tiene en la mira a las criptomonedas de los usuarios de macOS almacenadas en billeteras digitales.

Este cripto-troyano es único en dos sentidos: primero, utiliza registros DNS para lanzar su script Python malicioso. En segundo lugar, no sólo roba los monederos digitales, pero además reemplaza la aplicación de la billetera con su una versión infectada. Esto le permite robar la frase secreta utilizada para acceder a las criptomonedas almacenadas en las billeteras.

El malware se dirige a las versiones 13.6 y superiores de macOS, lo que indica un enfoque en los usuarios de sistemas operativos más nuevos, tanto con procesadores Intel como Apple Silicon. Las imágenes de disco comprometidas contienen un "activador" y la aplicación blanco. El activador, aparentemente benigno a primera vista, activa la aplicación comprometida después de ingresar la contraseña del usuario.

Los atacantes utilizan versiones pre-comprometidas de la aplicación, manipulando los archivos ejecutables para hacerlos inoperables hasta que el usuario ejecute el activador. Esta táctica garantiza que el usuario active la aplicación comprometida sin saberlo.

Una vez activado, el malware ejecuta su carga útil principal obteniendo registros DNS TXT para un dominio malicioso y descifrando un script de Python del mismo. El script se ejecuta interminablemente intentando descargar la próxima etapa de la cadena de infección, que también es un script de Python.

El propósito de la siguiente carga es ejecutar comandos arbitrarios recibidos del servidor. Si bien no se recibió ningún comando durante la investigación y la puerta trasera se actualizaba periódicamente, es evidente que la campaña de malware aún está en desarrollo. El código sugiere que los comandos probablemente sean scripts de Python codificados.

Además de las funcionalidades mencionadas, el script contiene dos características notables relacionadas con el dominio apple-analyzer[.]com. Ambas funciones tienen como objetivo verificar la presencia de aplicaciones de criptobilleteras y reemplazarlas con versiones maliciosas descargadas del dominio especificado. Esta táctica se observó apuntando tanto a las billeteras Bitcoin como Exodus.

“El malware macOS vinculado al software pirateado pone en relieve los graves riesgos. Los ciberdelincuentes utilizan aplicaciones pirateadas para acceder fácilmente a las computadoras de los usuarios y obtener privilegios de administrador pidiéndoles que ingresen su contraseña. Los creadores muestran una creatividad inusual al ocultar un script de Python en el registro de un servidor DNS, aumentando el nivel de sigilo del malware en el tráfico de la red. Los usuarios deben tener mucho cuidado, especialmente con sus carteras de criptomonedas. Evite realizar descargas desde sitios sospechosos y utilice soluciones de ciberseguridad confiables para una mejor protección”, comenta Sergey Puzan, investigador de seguridad en Kaspersky.

Para mantenerse a salvo de los troyanos y proteger sus criptoactivos, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:

• Es más seguro descargar aplicaciones desde tiendas oficiales, como la Apple App Store, solamente. Las aplicaciones de estos mercados no son 100% seguras, pero al menos son revisadas por los representantes de las tiendas, lo que indica algún sistema de filtración: no todas las apps pueden ingresar a estas tiendas.
• Instale una solución de seguridad confiable y siga sus recomendaciones. Estas soluciones resolverán la mayoría de los problemas automáticamente y le avisarán de algún problema que hayan detectado.
• Actualice su sistema operativo y aplicaciones importantes a medida que haya actualizaciones disponibles. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas de software.
• Asegure su frase inicial: al configurar su billetera hardware, asegúrese de escribir y almacenar de forma segura su frase inicial. Una solución de seguridad confiable, como Kaspersky Premium, protegerá sus criptoactivos almacenados en su dispositivo móvil o PC.
• Utilice una contraseña segura: evite utilizar contraseñas fáciles de adivinar o reutilizar contraseñas de otras cuentas. Para administrar contraseñas de manera efectiva y segura, considere utilizar Kaspersky Password Manager.

Para obtener más información sobre el troyano criptográfico y la puerta trasera para macOS, lea el reporte en Securelist.com

Origen

De acuerdo con una investigación de Kaspersky, la comunidad global de gamers, que actualmente representa casi la mitad de la población mundial, se encuentra cada vez más en riesgo por la ciberdelincuencia. Entre julio de 2022 y julio de 2023, la compañía detectó que los ciberdelincuentes se dirigieron a esta vasta comunidad para acceder a sus datos personales, a través de una variedad de ataques: vulnerabilidades web, ataques de Denegación de Servicio Distribuido (DDoS), minería de criptomonedas y campañas complejas de troyanos o phishing.

Durante dicho periodo, las soluciones de Kaspersky detectaron un total de 4,076,530 intentos para descargar 30,684 archivos únicos disfrazados como juegos populares, mods, trucos y otro software relacionado con juegos. Estos incidentes afectaron a 192,456 usuarios en todo el mundo. Los archivos, clasificados como software no deseado y usualmente etiquetados como "no es un virus:Downloader" (89.70%), no son inherentemente peligrosos, pero son capaces de descargar diversos programas, incluso maliciosos, en el dispositivo del usuario. Adware (5.25%) y troyanos (2.39%) también fueron amenazas significativas para los jugadores de escritorio.

Minecraft fue el objetivo preferido entre los ciberdelincuentes, siendo responsable del 70.29% de todas las detecciones. Las amenazas que utilizan este videojuego como cebo impactaron a 130,619 jugadores en todo el mundo. Roblox fue el segundo videojuego más atacado, contribuyendo al 20.37% de todas las detecciones que afectaron a 30,367 usuarios. Counter-Strike: Global Offensive (4.78%), PUBG (2.85%), Hogwarts Legacy (0.60%), DOTA 2 (0.45%) y League of Legends (0.31%) también estuvieron entre los juegos prominentes sujetos a amenazas cibernéticas.

La comunidad de juegos móviles, que según el informe Newzoo 2023 consta de más de tres mil millones de jugadores, o casi el 40% de la población mundial, se caracteriza por su notable crecimiento y accesibilidad, convirtiéndose en un atractivo objetivo para los ciberdelincuentes. En su investigación, Kaspersky registró 436,786 intentos de infectar dispositivos móviles, afectando a 84,539 usuarios.

Diversos títulos de videojuegos fueron utilizados como cebo para atacar a jugadores móviles. Una vez más, los fanáticos de Minecraft fueron los principales objetivos, ya que el 90.37% de los ataques se centraron en 80,128 jugadores afectados. Los usuarios indonesios, en particular, fueron vulnerados a través de Minecraft, resultando en un ataque Trojan.AndroidOS.Pootel.a que registró suscripciones móviles discretamente. La República Islámica de Irán fue testigo de la mayor prevalencia de estos ataques, con 140,482 alertas que impactaron a 54,467 jugadores de Minecraft.

PUBG: Battlegrounds Battle Royale fue el segundo juego móvil más explotado por los ciberdelincuentes, representando el 5.09% de todas las alertas, con la mayoría de los incidentes originados en usuarios de la Federación Rusa. Roblox (3.33%) ocupó el tercer lugar en términos de detecciones, pero el segundo en el número de usuarios afectados.

Un hallazgo notable implica la aparición de SpyNote, un troyano espía distribuido entre los usuarios de Roblox en la plataforma móvil Android bajo la apariencia de un mod. Este troyano muestra diversas capacidades de espionaje, incluyendo keylogging, grabación de pantalla, transmisión de video desde las cámaras del teléfono y la capacidad de suplantar aplicaciones de Google y Facebook para engañar a los usuarios y obtener sus contraseñas.

Las páginas de phishing y la distribución de falsificaciones continúan representando una amenaza significativa para los jugadores. El software malicioso y no deseado a menudo se disfraza de juegos populares, es distribuido a través de sitios web de terceros que ofrecen versiones pirateadas. Estas páginas engañosas suelen mostrar recuentos de descargas inflados, potencialmente llevando a los usuarios a una falsa sensación de seguridad. No obstante, hacer clic en el botón de descarga generalmente resulta en un archivo que puede contener elementos perjudiciales o no relacionados con el contenido prometido.

"En la dinámica industria de los videojuegos, que almacena una gran cantidad de datos personales y financieros, los ciberdelincuentes están aprovechando oportunidades tentadoras. Explotan perfiles de juego para robar activos dentro del mismo, como monedas virtuales, y venden cuentas de juegos comprometidas, a menudo con un valor real. La búsqueda incesante de datos personales ha llevado a un aumento en los ataques de ransomware, afectando incluso a gamers profesionales que dependen de un juego ininterrumpido. Esto subraya la necesidad crítica de crear una mejor conciencia sobre ciberseguridad dentro de la comunidad de jugadores" comenta Vasily Kolesnikov, experto en ciberseguridad de Kaspersky.

Para mantenerte seguro mientras juegas, Kaspersky recomienda:

• Descarga juegos solo desde tiendas oficiales como Steam, Apple App Store, Google Play o Amazon Appstore. Aunque aquí los juegos no son 100% seguros, al menos son verificados por representantes de la tienda y pasan por algún tipo de proceso de selección: no todos los juegos pueden estar disponibles en estas plataformas.

• Si deseas comprar un juego que no está disponible en las tiendas principales, adquiérelo solo desde el sitio web oficial. Verifica dos veces la URL del sitio web y asegúrate de que sea auténtica.

• Ten cuidado con las campañas de phishing y los jugadores desconocidos. No abras enlaces recibidos por correo electrónico o en un chat de juego a menos que confíes en el remitente. No abras archivos de desconocidos.

• No descargues softwares pirateados ni otros contenidos ilegales, incluso si te redirigen desde un sitio web legítimo.

• Una solución de seguridad sólida y confiable será de gran ayuda, especialmente si no ralentiza tu computadora mientras juegas y al mismo tiempo te protege de todas las posibles amenazas cibernéticas. Por ejemplo, Kaspersky Total Security funciona perfectamente con Steam y otros servicios de juegos. 
• Utiliza una solución de seguridad robusta, como Kaspersky Internet Security para Android, la cual protege contra el software malicioso en dispositivos móviles.

Origen

Investigadores de Kaspersky han descubierto un nuevo mod (modificación no oficial de la aplicación) espía malicioso para WhatsApp que ahora se está propagando en otro popular servicio de mensajería: Telegram. Si bien la modificación sirve para mejorar la experiencia del usuario, también recopila clandestinamente información personal de sus víctimas. Con un alcance que supera las 340,000 infecciones en tan solo un mes, este malware se dirige principalmente a usuarios que se comunican en árabe y azerí, aunque también ha afectado a víctimas en todo el mundo.

Los usuarios a menudo recurren a modificaciones de terceros para aplicaciones de mensajería populares con el fin de agregar características adicionales. Sin embargo, algunas de estas modificaciones, aunque mejoran la funcionalidad, también vienen con malware oculto. Kaspersky ha identificado un nuevo mod para WhatsApp que no solo ofrece adiciones como mensajes programados y opciones personalizables, sino que también contiene un módulo espía malicioso.

El archivo de manifiesto del cliente de WhatsApp modificado incluye componentes sospechosos (un servicio y un receptor de difusión) que no están presentes en la versión original. El receptor inicia un servicio, poniendo en marcha el módulo espía cuando el teléfono se enciende o se carga. Una vez activado, el implante malicioso envía una solicitud con información del dispositivo al servidor del atacante. Estos datos incluyen el IMEI, número de teléfono, códigos de país y de red, entre otros. También transmite los contactos y los detalles de la cuenta de la víctima cada cinco minutos, además de poder configurar grabaciones de micrófono y sacar archivos del almacenamiento externo.

Esta versión maliciosa se ha propagado a través de canales populares de Telegram, apuntando principalmente a hablantes de árabe y azerí, con algunos de estos canales contando con casi dos millones de suscriptores. Los investigadores de Kaspersky alertaron a Telegram sobre el problema. La telemetría de Kaspersky identificó más de 340,000 ataques que involucran a esta modificación solo en octubre. Esta amenaza surgió relativamente recientemente, volviéndose activa a mediados de agosto de 2023.

Azerbaiyán, Arabia Saudita, Yemen, Turquía y Egipto registraron las tasas de ataque más altas. Si bien la preferencia se inclina hacia usuarios que hablan árabe y azerí, también afecta a personas de Estados Unidos, Rusia, Reino Unido, Alemania y otros.

Los productos de Kaspersky detectan el troyano con el siguiente veredicto: Trojan-Spy.AndroidOS.CanesSpy.

"Las personas naturalmente confían en aplicaciones de fuentes con gran seguimiento, pero es esta confianza la que los estafadores explotan. La propagación de modificaciones maliciosas a través de plataformas de terceros populares resalta la importancia de usar apps de mensajería instantánea oficiales. Sin embargo, en caso de necesitar alguna característica adicional que no se encuentra en la app original, es recomendable utilizar una solución de seguridad confiable antes de instalar software de terceros, ya que protegerá tus datos de ser comprometidos. Para una sólida protección de datos personales, siempre descarga aplicaciones de tiendas o sitios web oficiales", comenta Dmitry Kalinin, experto en seguridad de Kaspersky.

Para mantenerse a salvo, los expertos de Kaspersky recomiendan:

• Usar tiendas oficiales: Descargar aplicaciones y software de fuentes confiables y oficiales. Evitar tiendas de aplicaciones de terceros, ya que el riesgo de que alberguen apps maliciosas o comprometidas es mayor.

• Utilizar software de seguridad confiable: Instalar y mantener software antivirus y antimalware confiable en tus dispositivos. Escanear regularmente tus dispositivos en busca de posibles amenazas y mantener tu software de seguridad actualizado. Kaspersky Premium protege a sus usuarios de amenazas conocidas y desconocidas.

• Educarse sobre estafas comunes: Mantenerse informado sobre las últimas amenazas cibernéticas, técnicas y tácticas. Ser cauteloso con las solicitudes no solicitadas, ofertas sospechosas o demandas urgentes de información personal o financiera.

Origen