Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 4 abril
Crocodilus: nuevo malware bancario dirigido a España y Turquía
Investigadores de ThreatFabric han detectado un nuevo malware bancario dirigido a Android denominado Crocodilus y distribuido a través de un dropper propio que elude las protecciones de seguridad de Android 13 y posteriores.
El malware integra ingeniería social para hacer que las víctimas proporcionen acceso a su frase semilla de cripto-monedero a través de una pantalla superpuesta desplegada cuando el usuario abre una aplicación bancaria. Esta advierte a los usuarios de hacer una copia de seguridad de la clave de su monedero para no perder el acceso a su cartera, permitiendo a Crocodilus recopilar el texto utilizando su registrador de accesibilidad.
En sus primeras operaciones, Crocodilus se dirigía a usuarios de Turquía y España, siendo el malware de origen turco. El componente bot del malware admite un conjunto de 23 comandos que puede ejecutar en el dispositivo, entre los que se incluyen activar el desvío de llamadas, iniciar aplicaciones concretas, enviar y obtener SMS, publicar notificaciones push, bloquear la pantalla o solicitar privilegios de administrador del dispositivo. Asimismo, el malware ofrece funcionalidad de troyano de acceso remoto (RAT) y capturar códigos OTP.
Google y Mozilla lanzan actualizaciones críticas para sus navegadores
Google y Mozilla publicaron nuevas versiones de sus navegadores, Chrome 135 y Firefox 137, respectivamente. Ambas actualizaciones corrigen múltiples vulnerabilidades, varias de ellas clasificadas como de alta gravedad. La versión 135 de Chrome soluciona un total de 14 vulnerabilidades, entre ellas un fallo de alta gravedad identificado como CVE-2025-3066 (CVSSv3 8.8 según CISA), relacionado con un use-after-free en Navigations.
También se corrigieron fallos de gravedad media y baja, asociados con implementaciones inadecuadas en funciones como pestañas personalizadas, extensiones, autorrelleno y descargas. La nueva versión está disponible en 135.0.7049.52 para Linux y en 135.0.7049.41/42 para Windows y macOS.
Por otro lado, Firefox 137 incorpora parches para ocho fallos, incluyendo tres considerados de alta gravedad. Entre ellos destaca un use-after-free relacionado con XSLTProcessor (CVE-2025-3028, CVSSv3 6.5 según CISA) y varios errores de seguridad de memoria que podrían permitir la ejecución de código malicioso (CVE-2025-3030 y CVE-2025-3034, ambos con un CVSSv3 de 8.1 según CISA). Además, se solucionaron vulnerabilidades que podrían facilitar la suplantación de la barra de direcciones, la exposición de información sensible y la carga de archivos arbitrarios en Windows.
Mozilla también lanzó actualizaciones para sus versiones ESR y para Thunderbird, con correcciones similares. Finalmente, aunque no se ha informado que estas fallas estén siendo explotadas activamente, se recomienda a los usuarios actualizar sus navegadores lo antes posible.
Anubis: backdoor avanzado dirigido a dispositivos Windows
Investigadores de PRODAFT han identificado Anubis, un sofisticado backdoor dirigido a sistemas Windows que permite a los atacantes obtener acceso persistente y ejecutar comandos remotos. Atribuido a un actor de amenazas con motivaciones financieras, Anubis emplea técnicas avanzadas de ofuscación y evasión para evitar su detección.
El malware se distribuye a través de campañas de phishing y descargas maliciosas, utilizando servidores de comando y control (C2) para recibir instrucciones. Entre sus capacidades destacan la recopilación de credenciales, la manipulación del sistema de archivos y la instalación de payloads adicionales.
El análisis de PRODAFT revela que Anubis ha sido empleado en ataques dirigidos contra organizaciones gubernamentales y del sector financiero. Se recomienda la aplicación de reglas de detección avanzadas y medidas de segmentación de red para mitigar su impacto.
Aumento de ataques de phishing mediante códigos QR
Investigadores de Unit 42 de Palo Alto Networks han detectado un incremento en los ataques de phishing que utilizan códigos QR, una técnica conocida como quishing. Estos ataques buscan robar credenciales de cuentas Microsoft al explotar la confianza de los usuarios en los códigos QR y la menor seguridad en dispositivos móviles.
A diferencia del phishing tradicional, el quishing evita los filtros de seguridad de los correos electrónicos al no incluir enlaces directos, sino códigos QR que redirigen a sitios maliciosos. Los atacantes emplean tácticas avanzadas como el uso de dominios legítimos para redirigir a víctimas y la integración de mecanismos de verificación humana para evadir detección. Las páginas de phishing suelen imitar servicios de Microsoft como SharePoint y pueden rellenar automáticamente el correo del usuario para aumentar su credibilidad.
Entre los principales indicadores de compromiso se encuentran PDFs con códigos QR maliciosos, redirecciones a través de dominios legítimos y páginas de inicio de sesión falsas. Para mitigar estos ataques, se recomienda a las organizaciones implementar filtros de URL, reforzar la seguridad en dispositivos personales y entrenar a empleados en la identificación de intentos de quishing.
Expansión de operaciones de trabajadores de TI norcoreanos para infiltración y ciberdelincuencia
Google Threat Intelligence Group ha identificado una expansión en las operaciones de trabajadores de TI norcoreanos que buscan empleo en empresas extranjeras para obtener acceso a infraestructura crítica y facilitar actividades de ciberdelincuencia y evasión de sanciones.
Estos actores han aumentado la escala y sofisticación de sus tácticas, haciéndose pasar por desarrolladores legítimos en plataformas como GitHub y LinkedIn. Los trabajadores de TI norcoreanos han sido vinculados a la explotación de accesos privilegiados para el robo de propiedad intelectual, la implementación de malware y la recolección de credenciales.
Además, han utilizado técnicas avanzadas para ocultar su verdadera identidad, incluyendo el uso de VPNs, deepfake en entrevistas y la manipulación de registros de actividad en plataformas colaborativas. Google alerta que estos actores también han diversificado sus objetivos, afectando sectores más allá de la industria tecnológica, como el financiero y el sanitario.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
