Barracuda full logo

Informe de Malware: XWorm, TrickMo y Remcos

Temas:
23 oct 2025
|
Tony Burgess

Con la llegada de Halloween, pensé que sería una buena idea dedicar esta publicación de Malware Brief a las amenazas que se transforman o han sufrido cambios significativos. Porque eso es un poco como ponerse un disfraz, ¿entiendes? Bueno, no es la mejor conexión temática de la historia, pero es lo que tengo, no me @.

De todos modos, vamos a echar un vistazo a tres amenazas. La primera es XWorm, un troyano de acceso remoto (RAT) que lo hace todo y utiliza muchas técnicas diferentes para infiltrarse en las redes. Su amplia disponibilidad en versiones crackeadas ha contribuido a aumentar su popularidad.

A continuación viene TrickMo, un troyano de Android que comenzó como el malware de escritorio TrickBot, antes de pasar a dispositivos móviles.

Finalmente, echaremos un vistazo a Remcos, una herramienta legítima de acceso remoto que, al igual que otras, ha sido reutilizada como un RAT que oculta su naturaleza y lanza amenazas persistentes avanzadas (APTs).

XWorm: RAT navaja suiza y cambiante

Tipo: RAT modular

Funciones/Funcionalidades: Espionaje con cámara web, secuestro del portapapeles, comportamiento similar al ransomware, y más

Técnicas principales: omisión de AMSI, cargadores de PowerShell/VBS, propagación por USB, HVNC, etc.

Actores de amenaza: TA558, NullBuldge, UAC-0184

Distribución: Originalmente vendido como malware-como-servicio utilizando múltiples niveles y capacidades, posteriormente ampliamente disponible en versiones crackeadas gratuitas.

XWorm es extremadamente popular, no solo porque hay versiones crackeadas disponibles de forma gratuita, sino porque es extremadamente fácil de usar, ofrece una amplia variedad de capacidades y es actualizado frecuentemente por sus desarrolladores. Esto lo hace muy popular no solo entre grupos de cibercriminales organizados y profesionales como TA558, NullBuldge y UAC-0184, sino también entre hackers aficionados con habilidades y capacidades limitadas.

Una de las cosas que hace que XWorm sea especialmente difícil de detectar es su enfoque dinámico para la infección. Utiliza una amplia variedad de cargadores y alterna entre diversos formatos de archivo y lenguajes de scripting, incluidos PowerShell, VBS, ejecutables .NET, JavaScript, scripts por lotes, .hta, .lnk, .iso, .vhd, .img y más para preparar y cargar su carga útil. Esto le ayuda a evadir las defensas convencionales de los endpoints y las herramientas de sandboxing.

TrickMo: Troyano de Android con un legado de TrickBot

Tipo: Troyano bancario

Funcionalidades: Permite el control remoto del dispositivo infectado, junto con la recolección de archivos, el registro de pulsaciones de teclas y más

Actores de amenazas: Afiliados del ahora desaparecido grupo TrickBot.

Distribución e infección: El dropper se hace pasar por el navegador web Google Chrome que solicita al usuario que actualice Google Play Services, momento en el cual descarga un archivo APK que contiene la carga útil de TrickMo.

Sistemas objetivo: Dispositivos móviles Android

Basado en el antiguo troyano TrickBot que apunta a sistemas de escritorio Windows, TrickMo ejemplifica la evolución del malware de escritorio a móvil. Al solicitar al usuario que habilite los servicios de accesibilidad, TrickMo obtiene amplias capacidades para controlar y acceder al dispositivo y los datos almacenados en él.

En sus variantes más recientes, TrickMo utiliza pantallas de bloqueo y de inicio de sesión falsas para recopilar credenciales de los usuarios. Sin embargo, también es capaz de interceptar contraseñas de un solo uso, registrar interacciones de pantalla, incluidos patrones de desbloqueo, exfiltrar datos utilizando 22 infraestructuras de comando y control diferentes conocidas, otorgar permisos automáticamente y más.

Resiste el análisis y oculta su naturaleza utilizando archivos .zip malformados para su distribución, entre otras técnicas.

Remcos: Herramienta legítima de acceso remoto convertida en maliciosa

Tipo: Herramienta de acceso remoto comercial que a menudo se utiliza indebidamente en campañas de phishing y kits de explotación

Capacidades: Permite a los atacantes tomar el control administrativo de los sistemas objetivo, encontrar y exfiltrar datos, y más.

Actores de amenazas: APT33, The Gorgon Group, UAC-0050

Distribución e infección: Los correos electrónicos de phishing engañan a los usuarios para que descarguen un archivo aparentemente inofensivo que contiene un objeto OLE que explota la vulnerabilidad de ejecución remota de código (RCE) CVE-2017-0199.

Aunque la vulnerabilidad CVE-2017-0199 se conoce desde 2017, abundan los sistemas sin parches, lo que brinda a los atacantes amplias oportunidades para seguir explotándolos.

Existe una tendencia en curso de atacantes que utilizan herramientas comerciales de acceso remoto como Remcos para tomar el control de sistemas objetivo con fines delictivos. Aunque tales herramientas tienen usos legítimos para el soporte de TI y para que los trabajadores controlen remotamente los sistemas de oficina desde ubicaciones externas, su uso con fines nefastos tiene implicaciones de seguridad significativas.

Contraatacando

Combatir estos ataques depende de:

  • Contar con una infraestructura de ciberseguridad robusta que utilice tecnologías de detección basadas en IA para derrotar técnicas avanzadas de ofuscación.
  • Garantizar que los usuarios estén bien formados para identificar correos electrónicos sospechosos que puedan ser intentos de phishing, y que siempre confirmen su autenticidad antes de ejecutar cualquier acción.
  • Asegurarse de que todos los sistemas y el software se mantengan actualizados en todo momento.
Explore la plataforma de ciberseguridad BarracudaONE
Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Publicaciones relacionadas:
The 2025 ITRC Consumer Impact Report: A new era of identity crime
The 2025 ITRC Consumer Impact Report: A new era of identity crime
 El ataque de ransomware en Nevada aporta lecciones sobre la resiliencia cibernética estatal
El ataque de ransomware en Nevada aporta lecciones sobre la resiliencia cibernética estatal
 Informe sobre malware: Android en el punto de mira — FvncBot, SeedSnatcher, ClayRat
Informe sobre malware: Android en el punto de mira — FvncBot, SeedSnatcher, ClayRat
 Las operaciones contra el cibercrimen más interesantes de 2025
Las operaciones contra el cibercrimen más interesantes de 2025
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.