¡Bienvenidos a nuestra edición semanal! Aquí encontrarás las noticias y tendencias más relevantes del mundo de la ciberseguridad, cuidadosamente seleccionadas y sintetizadas para mantenerte informado y preparado en un entorno de amenazas digitales en constante evolución.

Hoy recibes:

• 🗞️ Las noticias más importantes de la semana: Nuevo malware XCSSET en macOS, phishing en Microsoft Teams, vulnerabilidades en OpenSSH, bloqueo de enlaces en X.

• ✍️ Análisis y opinión: 💰🔐 Hackeo a Bybit: ¿Estamos perdiendo la guerra contra los ciberdelincuentes?

☕️ Noticias de la semana

Aquí tienes un resumen de las noticias de ciberseguridad más relevantes de la última semana:

1. 🛑 Nuevo Malware XCSSET Afecta macOS con Técnicas Avanzadas

Microsoft ha identificado una nueva variante del malware XCSSET, una amenaza dirigida a desarrolladores y usuarios de macOS que se infiltra a través de proyectos de Xcode comprometidos. Este malware ha evolucionado con técnicas avanzadas de evasión, mecanismos de persistencia mejorados y nuevas estrategias de infección, lo que lo hace más difícil de detectar y eliminar.

📌 Importante:

• Se propaga a través de proyectos Xcode infectados, afectando a desarrolladores y sus entornos de trabajo.

• Nueva capacidad de ofuscación y persistencia, lo que permite que el malware se mantenga oculto en los sistemas macOS.

• Explotación de permisos y accesos, lo que facilita el robo de credenciales y la manipulación de datos sensibles.

🔐 ¿Cómo protegerse?

1. Verificar la autenticidad de los proyectos Xcode antes de utilizarlos o clonarlos desde repositorios externos.

2. Evitar instalar aplicaciones fuera de fuentes oficiales como la Mac App Store.

3. Revisar permisos y actividad inusual en el sistema para detectar posibles intrusiones.

4. Utilizar soluciones de seguridad avanzadas para monitorear y bloquear amenazas en macOS.

🔗 Fuente: Microsoft Uncovers New XCSSET macOS Malware Variant

2. 🚫 X bloquea enlaces de Signal y los marca como maliciosos

La plataforma social X (anteriormente Twitter) ha comenzado a bloquear enlaces que dirigen a “Signal.me”, una URL utilizada por la aplicación de mensajería cifrada Signal para compartir información de contacto. Intentar publicar estos enlaces en publicaciones públicas, mensajes directos o biografías de perfil resulta en mensajes de error que citan riesgos de spam o malware. Curiosamente, otros dominios de Signal, como “Signal.org”, no parecen estar afectados por este bloqueo. La razón detrás de esta acción aún no ha sido aclarada por X.

📌 Importante:

• Los enlaces “Signal.me” son utilizados para compartir información de contacto de manera rápida y segura en Signal.

• Usuarios han reportado mensajes de error al intentar compartir estos enlaces en X, indicando actividades sospechosas o riesgos de malware.

• Otros dominios de Signal y servicios similares, como Telegram, no parecen estar afectados por este bloqueo.

🔒 ¿Cómo protegerse?

1. Verificar enlaces antes de compartir: Asegúrese de que los enlaces que comparte no estén bloqueados o marcados como maliciosos en la plataforma.

2. Utilizar métodos alternativos de contacto: Considere compartir su información de contacto de Signal directamente o mediante otros medios seguros si los enlaces “Signal.me” continúan siendo bloqueados.

3. Mantenerse informado: Esté atento a las actualizaciones oficiales de X y Signal respecto a este asunto para adaptar sus métodos de comunicación en consecuencia.

🔗 Fuente: BleepingComputer

3. 🚨 Ataques de phishing en Microsoft Teams: Storm-2372 en acción

Un grupo cibercriminal ruso, identificado como Storm-2372, ha estado llevando a cabo una campaña de phishing desde agosto de 2024, dirigida a organizaciones gubernamentales y no gubernamentales en Europa, América del Norte, África y Medio Oriente. Los sectores afectados incluyen TI, defensa, telecomunicaciones, salud y energía. La táctica principal de este grupo consiste en aprovechar los códigos de autenticación de dispositivos de servicios como Microsoft Teams y WhatsApp para obtener acceso no autorizado a cuentas y datos sensibles.

📌 Importante:

• Los atacantes se hacen pasar por personas influyentes o relevantes para la víctima, contactándolas a través de WhatsApp, Signal o Microsoft Teams.

• Envían invitaciones falsas a reuniones de Microsoft Teams que redirigen a la página legítima de inicio de sesión de Microsoft, solicitando un código de verificación de dispositivo.

• Al ingresar este código, los atacantes obtienen acceso a la cuenta de la víctima sin necesidad de contraseñas o códigos de autenticación multifactor.

🔒 ¿Cómo protegerse?

1. Educación y concienciación: Formar a los empleados sobre las técnicas de phishing actuales y cómo identificar intentos de suplantación de identidad.

2. Verificación de comunicaciones: Confirmar la autenticidad de mensajes e invitaciones a reuniones, especialmente si provienen de fuentes inesperadas o desconocidas.

3. Restricción de flujos de códigos de dispositivo: Considerar la posibilidad de bloquear el uso de autenticación mediante códigos de dispositivo en entornos corporativos para reducir vectores de ataque.

4. Monitoreo de actividad sospechosa: Implementar soluciones de seguridad que detecten y alerten sobre comportamientos inusuales en cuentas y dispositivos.

🔗 Fuente: Tripwire

4. 🔐 Nuevas fallas en OpenSSH exponen servidores a ataques MiTM y DoS

OpenSSH ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades críticas: una que permite ataques de hombre en el medio (MitM) y otra que facilita ataques de denegación de servicio (DoS). La primera vulnerabilidad, identificada como CVE-2025-26465, fue introducida en diciembre de 2014 con la versión 6.8p1 de OpenSSH y permaneció sin ser detectada durante más de una década. Esta falla afecta a los clientes de OpenSSH cuando la opción ‘VerifyHostKeyDNS’ está habilitada, permitiendo a actores malintencionados ejecutar ataques MitM sin necesidad de interacción del usuario.

📌 Importante:

• La vulnerabilidad CVE-2025-26465 afecta a los clientes de OpenSSH con la opción ‘VerifyHostKeyDNS’ activada, permitiendo ataques MitM sin interacción del usuario.

• La segunda vulnerabilidad, aún sin CVE asignado, puede ser explotada para causar una denegación de servicio en el servidor OpenSSH, afectando la disponibilidad del servicio.

• Ambas vulnerabilidades fueron descubiertas por Qualys y demostraron ser explotables, lo que llevó a OpenSSH a emitir parches de seguridad.

🔒 ¿Cómo protegerse?

1. Actualizar OpenSSH: Instale las últimas versiones disponibles para corregir estas vulnerabilidades.

2. Revisar configuraciones: Verifique si la opción ‘VerifyHostKeyDNS’ está habilitada en sus clientes y considere desactivarla si no es necesaria.

3. Monitorear actividad: Implemente sistemas de detección de intrusiones para identificar posibles intentos de explotación de estas vulnerabilidades.

4. Seguir buenas prácticas de seguridad: Mantenga sus sistemas actualizados y limite el acceso a sus servidores SSH solo a usuarios y redes confiables.

🔗 Fuente: BleepingComputer

5. 🚨 Nuevo malware FrigidStealer engaña a usuarios de macOS

Investigadores de Proofpoint han identificado un nuevo malware para macOS llamado FrigidStealer, distribuido a través de un sitio web comprometido que se hace pasar por una actualización de navegador. Este infostealer, escrito en Go y construido con WailsIO, solicita la contraseña del usuario al ejecutarse y luego recopila cookies del navegador, archivos relacionados con contraseñas, criptomonedas y notas de Apple, enviándolos a su servidor de comando y control.

El grupo cibercriminal TA2727 ha estado distribuyendo FrigidStealer desde finales de enero, apuntando a usuarios de macOS fuera de América del Norte. Los visitantes del sitio comprometido son redirigidos a una página de actualización falsa que descarga un archivo DMG; al montarlo, se muestra un ícono de Chrome o Safari, según el navegador del usuario, y se les indica ejecutar la aplicación mediante clic derecho, una táctica para evadir las protecciones de Gatekeeper de Apple.

TA2727 ha empleado tácticas similares en campañas dirigidas a usuarios de Windows con Lumma Stealer y DeerStealer, y a usuarios de Android con el troyano bancario Marcher. 

📌 Importante:

• FrigidStealer se distribuye como una actualización falsa de navegador en sitios web comprometidos.

• El malware solicita la contraseña del usuario y roba datos sensibles, incluyendo cookies, contraseñas, criptomonedas y notas de Apple.

• Utiliza técnicas para evadir las protecciones de seguridad de macOS, como Gatekeeper.

🔒 ¿Cómo protegerse?

1. Evitar actualizaciones desde fuentes no oficiales: Descargue actualizaciones de software únicamente desde los sitios oficiales de los proveedores.

2. No proporcionar contraseñas a aplicaciones desconocidas: Desconfíe de aplicaciones que soliciten su contraseña sin una razón clara.

3. Mantener el sistema operativo y software actualizados: Asegúrese de que su macOS y todas las aplicaciones estén actualizadas con los últimos parches de seguridad.

4. Utilizar soluciones de seguridad confiables: Instale y mantenga actualizado un software antivirus/malware de buena reputación.

🔗 Fuente: SecurityWeek

6. 📄 ACRStealer usa Google Docs para robar credenciales

Investigadores de ciberseguridad han identificado una nueva variante del malware ACRStealer que emplea plataformas legítimas como Google Docs y Steam para comunicarse con sus servidores de comando y control (C2). Este enfoque permite a los atacantes cambiar fácilmente los dominios C2 sin levantar sospechas, ya que el tráfico hacia servicios legítimos es menos probable que sea bloqueado.

📌 Importante:

• Método de distribución: ACRStealer se propaga principalmente a través de descargas de cracks y keygens utilizados en la piratería de software.

• Capacidades del malware: Puede identificar soluciones antivirus instaladas, robar credenciales de inicio de sesión, información de navegadores, billeteras de criptomonedas y credenciales FTP.

• Comunicación con C2: Utiliza una técnica llamada Dead Drop Resolver (DDR), donde el malware consulta documentos en Google Docs o perfiles de Steam para obtener la dirección del servidor C2, facilitando cambios rápidos en la infraestructura de ataque.

🔒 ¿Cómo protegerse?

1. Evitar software pirata: No descargar ni instalar cracks o keygens de fuentes no oficiales.

2. Descargas seguras: Obtener software únicamente de sitios web oficiales y confiables.

3. Precaución con enlaces y archivos adjuntos: No hacer clic en enlaces de comunicaciones no solicitadas ni abrir archivos adjuntos de remitentes desconocidos.

4. Autenticación multifactor (MFA): Habilitar MFA en todas las cuentas posibles para añadir una capa adicional de seguridad.

5. Software de seguridad actualizado: Utilizar soluciones antivirus y antimalware actualizadas para detectar y prevenir infecciones.

🔗 Fuente: Malwarebytes

✍️ Análisis y opinión - 💰🔐 Hackeo a Bybit: ¿Estamos Perdiendo la Guerra Contra los Ciberdelincuentes?

El mundo cripto vuelve a estar en el ojo del huracán con un robo millonario en Bybit. ¿El botín? Nada menos que $1,500 millones de dólares. Un golpe de esta magnitud no pasa desapercibido, y todo apunta a Lazarus, el polémico grupo de cibercriminales norcoreanos que lleva años financiando operaciones ilícitas con dinero robado de plataformas cripto.

Este ataque no solo encendió las alarmas en la industria, sino que también deja en el aire una pregunta incómoda: ¿estamos cerrando la puerta y dejando las ventanas abiertas? Porque, a pesar de todas las medidas de seguridad implementadas, los ciberdelincuentes siguen encontrando la manera de burlar los controles.

📌 ¿Cómo lograron vulnerar la seguridad de Bybit?

Ataque a las cold wallets de Ethereum: Se supone que las billeteras frías son la caja fuerte de los criptoactivos, pero si alguien obtiene las llaves, la seguridad deja de importar. (Fuente) - BleepingComputer

Fallas en la seguridad multisig: La autenticación multifirma debería ser una capa de protección extra, pero si no se implementa bien, es como ponerle doble candado a la puerta y dejar la ventana abierta. (Fuente) - Checkpoint

En pocas palabras: no basta con tener tecnología avanzada, si la implementación queda con puntos débiles y sin mejores prácticas.

🚨 Lazarus sigue robando millones… ¿y nadie puede detenerlos?

Este grupo no solo ataca la tecnología, sabe que el hilo siempre se rompe por lo más delgado. Las estrategias que han dejado observar se puede listar en:

✅ Ataques a cadena de suministro: En lugar de forzar la entrada, mejor consiguen una llave maestra atacando a los proveedores de software o seguridad.
✅ Phishing e ingeniería social: No necesitan hackear sistemas si pueden engañar a alguien para que les abra la puerta.
✅ Lavado de dinero exprés: Una vez que roban los fondos, los mueven tan rápido que cuando alguien intenta reaccionar ya los desaparecieron, como bien dicen... “el que se fue a la villa, perdió su silla”.

Lo preocupante es que, con cada golpe, Lazarus se vuelve más sofisticado y sigue un paso adelante.

🎯 El historial de hackeos masivos en el mundo cripto

Este caso no es nuevo. Algunos de los ataques más icónicos incluyen:

Mt. Gox (2014): 850,000 BTC desaparecieron sin dejar rastro. (BBC)

Bitfinex (2016): 120,000 BTC robados, con pérdidas millonarias. (Reuters)

Coincheck (2018): Un hackeo de $530M que puso en jaque a los exchanges japoneses (CoinDesk)

Binance (2019): 7,000 BTC robados en uno de los ataques más mediáticos. (Bloomberg)

FTX (2022): Un colapso financiero seguido de un hackeo interno por $477M. (Elliptic)

La historia se repite: los ataques evolucionan, pero los exchanges parecen seguir parchando sobre la marcha.

🔮 ¿Y ahora qué?

Este hackeo nos deja varias preguntas sobre el futuro de la seguridad en el ecosistema cripto:

¿Más regulaciones? Gobiernos y entidades financieras seguirán presionando para mayor supervisión.

¿Seguridad más avanzada? Las plataformas tendrán que mejorar sus controles antes de que los clientes empiecen a buscar alternativas más seguras.

¿Innovación real o solo parches? Se necesitan soluciones de fondo, no solo reacciones apresuradas tras cada ataque.

La pregunta del millón es: ¿será posible blindar de verdad el ecosistema cripto o seguiremos viendo solo una barrera de cristal?

📌 Moraleja: La seguridad no es un lujo, es una necesidad. Y si estás invirtiendo en criptos, más vale que tengas un plan para protegerlas. 🚀

Gracias por leer nuestro resumen semanal. Recuerda, estamos aquí para ayudarte a navegar el complejo mundo de la ciberseguridad. No dudes en responder a este correo con tus preguntas o inquietudes.

¡Hasta la próxima semana! 🚀

Te invitamos a compartir esta publicación, visitar nuestro sitio web y conectar en redes sociales.

www.purplesec.com

Compartir Newsletter Purple Security | Ciberseguridad