LATAM 2024: cómo los virus transformaron el ciberespacio local

Los expertos de la empresa CrowdStrike han resumido el año 2024, destacando los cambios clave en las tácticas y métodos de los ciberdelincuentes latinoamericanos. El informe analiza en detalle las innovaciones utilizadas en el software malicioso, así como su impacto en la seguridad de las instituciones financieras de la región.

Durante este año, los ciberdelincuentes latinoamericanos continuaron perfeccionando sus herramientas para evadir la seguridad y expandir los ataques. Se prestó especial atención a la actualización de tácticas y métodos de trabajo, incluyendo el uso de lenguajes de programación modernos, como Rust, y la implementación de nuevos mecanismos de entrega de software malicioso.

Entre las principales tendencias destacan la distribución de correos de phishing, cadenas de infección multinivel y el uso de malspam (Malware Spam). Estos métodos siguen dirigidos a instituciones financieras que trabajan con clientes hispanohablantes y lusohablantes.

Uno de los eventos más notables fue el desarrollo del software malicioso Kiron. Durante el año, los desarrolladores introdujeron soporte para cargadores en Rust y crearon una extensión para navegadores que roba el historial de navegación y las cookies. Los nuevos mecanismos de entrega y las coincidencias con tácticas de otros grupos, como SAMBA SPIDER, demuestran una colaboración activa dentro del ecosistema del cibercrimen latinoamericano.

El virus Mispadu también recibió varias actualizaciones. En 2024 se observó el uso de componentes en JavaScript para la entrega de código malicioso y nuevos métodos de ofuscación. Esto permite evadir los mecanismos de detección tradicionales.

El malware Caiman mejoró sus métodos de cifrado de cadenas, incluyendo la implementación de algoritmos basados en PRNG y XOR. Estos cambios dificultan el análisis y la detección de amenazas.

Culebra, conocido por su orientación hacia el sector bancario, en 2024 recibió un nuevo cargador en PowerShell. Recopila activamente información del sistema y la envía al servidor de control para recibir comandos adicionales.

Muchos desarrolladores, incluidos los creadores de Salve, experimentaron con Rust para desarrollar cargadores. Sin embargo, la falta de funciones de anti-análisis y la posterior eliminación de los componentes Rust pueden indicar dudas sobre su efectividad.

La tendencia general en el desarrollo de software malicioso en la región radica en la combinación de métodos probados, como el uso de Delphi, con la incorporación de tecnologías modernas para complicar el análisis.

Los ciberdelincuentes latinoamericanos demuestran que las ciberamenazas son cada vez más complejas y sofisticadas, exigiendo de las defensas no solo tecnologías modernas, sino también una mejora constante en los enfoques para su detección y neutralización.