Nueva serie: Resumen de malware

Temas:

24 jun 2025

Esta publicación es la primera de una nueva serie para el Blog de Barracuda. Cada una de nuestras publicaciones Malware Brief destacará algunas amenazas de malware en tendencia. Cubriremos detalles técnicos y sus lugares en la taxonomía de tipos de amenazas, y analizaremos cómo cada una puede potencialmente atacar y dañar su organización.

Un recurso útil para cualquier persona que busque seguir cuáles son las amenazas que dominan el panorama es el Any Run Malware Trends Tracker. Y comenzaremos con el malware más destacado en esa lista en este momento, Tycoon 2FA.

Tycoon 2FA

Tipo: kit de phishing (Phishing-as-a-Service)

Subtipo: Adversario en el Medio (AiTM)

Distribución: canales de Telegram, a $120 por 10 días

Objetivos comunes: cuentas de Gmail, Microsoft 365

Operadores conocidos en Telegram: Tycoon Group, SaaadFridi y Mr_XaaD

Tycoon 2FA es una plataforma Phishing-as-a-Service (PHaaS) vista por primera vez en agosto de 2023. Ha sido mantenida y actualizada regularmente, al menos hasta principios de 2025.

Como implica el nombre de esta versión, sus actualizaciones más recientes le permiten eludir las estrategias de autenticación de dos factores. Un análisis técnico detallado de Tycoon 2FA se encuentra en esta publicación de blog de Threat Spotlight.

Una característica clave de Tycoon 2FA es su extrema facilidad de uso. Las personas sin mucha habilidad técnica pueden usarlo fácilmente para crear y ejecutar ataques de phishing dirigido. Usando URLs y códigos QR, las víctimas son dirigidas a páginas web falsas donde se recopilan credenciales.

Tycoon 2FA puede entonces usarse para entregar malware, realizar un reconocimiento extendido y más. Elude el MFA actuando como un intermediario, capturando y reutilizando cookies de sesión. Estas pueden seguir reutilizándose incluso después de que las credenciales hayan sido actualizadas, otorgando al usuario acceso prolongado a las redes objetivo.

Como se indicó anteriormente, el operador detrás de Tycoon 2FA vende licencias de 10 días por $120 a través de Telegram.

Lumma

Tipo: Infostealer

Distribución: Malware-as-a-Service

AKA: LummaC, LummaC2

Sistemas de destino: Windows 7 – 11

El infostealer Lumma surgió por primera vez en agosto de 2022. Es fácilmente accesible y se ofrece a la venta como un servicio, con varios planes disponibles a diferentes precios.

Una vez que obtiene acceso a un sistema — ya sea a través de una campaña de phishing exitosa, oculto en software falso, o mediante mensajería directa en Discord — Lumma es muy efectivo. Encuentra, recopila y exfiltra una amplia gama de datos sensibles. Normalmente se utiliza para atacar monederos de criptomonedas, credenciales de inicio de sesión y otros datos sensibles.

El malware puede recopilar registros de datos de los puntos finales comprometidos y también puede actuar como un cargador, instalando otros tipos de malware.

En mayo de 2025, Microsoft y Europol anunciaron una operación para poner fin a Lumma mediante el cierre de la "estructura de comando central" del ladrón, derribando más de 1,300 dominios y cerrando el principal mercado de venta del malware y datos robados. ( Otra operación de Europol alrededor del mismo tiempo desmanteló las infraestructuras de muchos otros tipos de malware.)

No obstante, muchos miles de sistemas continúan infectados, y Lumma mantiene el puesto n.º 4 en la lista global de Any Run de malware activo.

Quasar RAT

Tipo: troyano de acceso remoto (RAT)

Sistemas de destino: Windows, todas las versiones

Autor: Desconocido

Distribución: campañas de correo electrónico de Spam

Quasar RAT es un tipo de malware que permite a los criminales tomar el control de los sistemas infectados. Está ampliamente disponible como un proyecto de código abierto, lo que lo hace muy popular. Su autor original no es conocido. Si bien inicialmente pudo haber sido concebido como una herramienta legítima de acceso remoto, ha ganado gran popularidad como arma de ciberamenaza.

Quasar ha sido revisado y actualizado repetidamente, aumentando el rango de acciones potenciales que puede realizar o permitir a sus usuarios realizar. Los usuarios pueden acceder a una interfaz gráfica de usuario en el componente del lado del servidor del malware y personalizar el malware del lado del cliente para satisfacer sus necesidades.

La funcionalidad incluye la gestión remota de archivos en la máquina infectada, alteraciones del registro, grabación de las acciones de una víctima, establecimiento de conexiones de escritorio remoto y más.

Una característica notable es su capacidad para ejecutarse "silenciosamente", permitiéndole pasar desapercibido durante largos períodos de tiempo mientras los atacantes controlan el PC infectado.

Al igual que otros RAT, Quasar se distribuye en gran medida a través de campañas de spam por correo electrónico que entregan el malware o su cargador disfrazado como un documento.

Actualmente, Quasar RAT figura en el puesto número 9 en la lista global de Any Run, con un reciente aumento de actividad observado.

Suscríbase al blog de Barracuda

Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB