Barracuda full logo

Email Threat Radar — Noviembre 2025

Temas:
12 nov 2025
|
Threat Analyst Team

Durante el último mes, los analistas de amenazas de Barracuda han observado los siguientes desarrollos notables en amenazas basadas en correo electrónico dirigidas a organizaciones:

  • Nuevas herramientas y tácticas para el kit de phishing Tycoon 2FA
  • Caracteres invisibles que ayudan al kit de Cephas a evadir escáneres y reglas
  • Un ataque sofisticado que involucra esteganografía (malware oculto en imágenes)

Novedades en el kit de herramientas de Tycoon

Tycoon 2FA es un kit de phishing prominente y exitoso que sigue siendo una amenaza seria para las empresas a pesar de estar presente desde agosto de 2023. El objetivo principal de Tycoon es robar credenciales de inicio de sesión de Microsoft 365 y, más recientemente, de cuentas de Google Workspace. Engaña a los empleados para que entreguen contraseñas y códigos de autenticación de dos factores.

Lo que hace que Tycoon sea peligroso es la frecuencia con la que cambia. Cada nueva versión incluye actualizaciones pequeñas pero ingeniosas que le ayudan a evitar la detección por las herramientas de seguridad tradicionales.

Aquí están algunos de los cambios más recientes observados en las últimas versiones:

Desafíos CAPTCHA: Para parecer más legítimo y ralentizar las herramientas de seguridad automatizadas, Tycoon ahora incluye diferentes tipos de pruebas CAPTCHA, incluidos acertijos basados en imágenes y desafíos de "mantener pulsado".

URL más realistas: Las direcciones web más recientes imitan secuencias de inicio de sesión reales, incluyendo enlaces de estilo OAuth2 y códigos únicos, lo que hace que sean más difíciles de identificar como falsas.
Código comprimido: Las páginas de phishing más recientes utilizan un método llamado compresión LZString para reducir y ocultar grandes partes del código. Este código luego se descomprime y se ejecuta directamente en el navegador de las víctimas, lo que dificulta que las herramientas de seguridad lo detecten.

Ejecución dinámica: Esto significa que el código oculto solo se revela y se ejecuta completamente una vez que la página está cargada, lo que ayuda a mantenerse fuera del radar.

Para protegerse frente a estos ataques: Implemente soluciones de seguridad que ofrezcan controles de seguridad en capas. Busque soluciones que ofrezcan herramientas de protección antiphishing, autenticación adaptativa y monitoreo continuo para ayudar a detectar el tipo de interceptación adversario-en-el-medio (AiTM) tácticas utilizadas por amenazas como Tycoon 2FA.)

El kit Cephas utiliza caracteres invisibles para bloquear escáneres y reglas.

Cephas es un kit de phishing emergente visto por primera vez en agosto de 2024. El código presenta un número significativo de comentarios relacionados con la astronomía y la Biblia.

Lo que hace que Cephas sea digno de mención es que implementa una técnica de ofuscación distintiva y poco común. El kit oculta su código creando caracteres invisibles aleatorios dentro del código fuente que le ayudan a evadir los escáneres antiphishing y a impedir que las reglas YARA basadas en firmas coincidan con los métodos exactos de phishing.

Para protegerse frente a estos ataques: Implemente MFA para todos los usuarios, especialmente para servicios en la nube como Microsoft 365. Considere usar métodos resistentes al phishing, como llaves de seguridad de hardware en lugar de códigos basados en SMS o aplicaciones.

El malware sigiloso se oculta en imágenes para evitar la detección.

La esteganografía es una técnica de ataque sofisticada que implica ocultar datos dentro de algo que parece inofensivo, como una imagen. A diferencia del cifrado, que oculta el contenido de los datos, la esteganografía oculta la existencia de los datos. Esto hace que sea mucho más difícil de detectar.

Los analistas de amenazas de Barracuda detectaron recientemente una campaña de phishing que utiliza la esteganografía.

El ataque comienza con un correo electrónico de phishing que parece un mensaje comercial genuino, como un pedido o una consulta de precios. En las muestras analizadas, los correos electrónicos incluían enlaces a archivos alojados en un servicio de intercambio de archivos popular y legítimo.

Sin embargo, los archivos son en realidad archivos maliciosos de JavaScript que han sido fuertemente disfrazados para que los sistemas de seguridad no los reconozcan como peligrosos.

Cuando un usuario hace clic en el enlace, se descarga el archivo JavaScript. El archivo contiene código oculto que ha sido cifrado utilizando caracteres especiales y codificación. Una vez descifrado, revela un comando que lanza PowerShell, una herramienta integrada de Windows que a menudo es utilizada por atacantes para ejecutar código sin dejar rastros evidentes.
Este comando de PowerShell obtiene una imagen PNG de otro sitio legítimo. Oculto dentro de la imagen está el verdadero malware, codificado de una manera que lo hace invisible para el software de seguridad.

Al ocultar malware dentro de imágenes y utilizar plataformas de confianza, los atacantes eluden muchas medidas de seguridad tradicionales.

El malware utilizado en esta campaña de phishing también aprovecha otros trucos sofisticados para permanecer oculto:

  • Disfraza su código con nombres confusos y texto codificado.
  • Ejecuta comandos en segundo plano sin mostrar ninguna ventana.
  • Evita escribir cualquier cosa en el disco y, en su lugar, se oculta en la memoria del dispositivo, lo que dificulta su rastreo.

Este ataque muestra cómo las amenazas de correo electrónico cotidianas están utilizando ahora técnicas avanzadas y sutiles, previamente asociadas principalmente con atacantes de alto nivel, como las amenazas persistentes avanzadas (ATPs).

Para protegerse contra tales ataques: Busque señales de advertencia, como la aparición de archivos multimedia inusualmente grandes o que contienen contenido duplicado, así como tráfico saliente inesperado o tráfico hacia dominios desconocidos.

Refuerce su seguridad con protección del correo electrónico basada en IA multimodal que incluye análisis heurístico y de comportamiento y puede correlacionar y analizar una amplia gama de tipos de datos de texto y visuales, incluidos URLs, documentos, imágenes, códigos QR y más.

También vale la pena bloquear las macros en los documentos por defecto y restringir el rango de tipos de archivos permitidos a través del correo electrónico y las cargas web.

Cómo Barracuda Email Protection puede ayudar a su organización

Barracuda Email Protection ofrece un conjunto completo de funciones diseñadas para defenderse contra amenazas avanzadas de correo electrónico.

Incluye funcionalidades como Email Gateway Defense, que protege contra phishing y malware, y Impersonation Protection, que protege contra ataques de ingeniería social.

Además, incluye IncidentResponse y Domain Fraud Protection para mitigar los riesgos asociados con cuentas comprometidas y dominios fraudulentos. El servicio también incluye Cloud-to-Cloud Backup y Security Awareness Training para mejorar la postura general de seguridad del correo electrónico.

Barracuda combina la inteligencia artificial y la integración profunda con Microsoft 365 para proporcionar una solución integral basado/a en la nube que protege contra ataques de Phishing y suplantación (de identidad) hiperdirigidos potencialmente devastadores.

Más información disponible aquí.

Descubre cómo Barracuda puede ayudar a proteger tu negocio
Threat Analyst Team

El equipo de analistas de amenazas de Barracuda se centra en detectar, analizar y mitigar amenazas emergentes. Dedicado a proteger a los clientes de ciberataques, el equipo aprovecha tecnologías avanzadas e inteligencia de amenazas para proporcionar información procesable y estrategias de defensa proactivas.

Publicaciones relacionadas:
Threat Spotlight: How phishing kits evolved in 2025
Threat Spotlight: How phishing kits evolved in 2025
 Los 3 principales webinars imprescindibles de Barracuda en 2025: conocimientos de seguridad bajo demanda
Los 3 principales webinars imprescindibles de Barracuda en 2025: conocimientos de seguridad bajo demanda
 Revisión del año 2025: Publicaciones destacadas del blog de Barracuda
Revisión del año 2025: Publicaciones destacadas del blog de Barracuda
 Informe sobre malware: Android en el punto de mira — FvncBot, SeedSnatcher, ClayRat
Informe sobre malware: Android en el punto de mira — FvncBot, SeedSnatcher, ClayRat
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.