Malware Muck Stealer utilizado junto con phishing en nuevas oleadas de ataques

Un nuevo informe de Cofense revela que los cibercriminales están combinando phishing y malware, incluidos Muck Stealer, Info Stealer, ConnectWise RAT y SimpleHelp RAT en ataques de doble amenaza, lo que hace que sea más difícil defenderse.

Según investigadores de ciberseguridad de Cofense, firma de inteligencia de ciberamenazas, los cibercriminales han comenzado a combinar el phishing de credenciales y el malware. Este enfoque de doble amenaza dificulta considerablemente la defensa de las empresas contra un solo ataque.

Por ejemplo, antes se asumía que un correo electrónico era un intento de phishing de credenciales o software malicioso. Sin embargo, ahora los delincuentes emplean una nueva estrategia. Al combinar ambos métodos, pueden tener éxito incluso si una empresa ha invertido mucho en un área de protección en lugar de la otra.

El informe reveló que los atacantes utilizan diversos métodos para lanzar estos ataques combinados. En una campaña de diciembre de 2024, los atacantes primero utilizaron un descargador malicioso que instaló el malware Muck Stealer en el ordenador de la víctima. Posteriormente, el malware lanzó una página de inicio de sesión falsa para recopilar información adicional. Según los investigadores, este archivo HTML también sirvió como método para ocultar las actividades de Muck Stealer.

En otra campaña de enero de 2025, se invirtió el enfoque. Las víctimas fueron redirigidas a una página de phishing de credenciales donde se les solicitaba que ingresaran sus datos de inicio de sesión. En cuanto ingresaban la información, se descargaba e instalaba en su computadora un ladrón de información personalizado. Los investigadores observaron que los delincuentes estaban duplicando deliberadamente las credenciales de Microsoft Office de las víctimas y usándolas de forma muy específica.

Una campaña que ofrece Muck Stealer y un archivo HTML de phishing de credenciales, y una campaña que ofrece phishing de credenciales y un Information Stealer personalizado (Fuente: Cofense Intelligence)

En otra campaña destacada, se observó a cibercriminales suplantando la identidad de la Agencia de Seguridad Social de Estados Unidos (ASSA). Estos correos electrónicos, con temática de beneficios, contenían un enlace incrustado que, al hacer clic, descargaba el RAT de ConnectWise y luego redirigía a la víctima a una extensa página de phishing de credenciales. Esta página recopilaba datos personales específicos que el malware no podía obtener, como el número de la Seguridad Social de la víctima, el apellido de soltera de su madre y el PIN de su operador telefónico.

El informe también detalló una interesante campaña de julio de 2025, en la que la carga útil del malware variaba según el dispositivo de la víctima. Por ejemplo, un enlace desde una computadora Windows conducía a una página falsa de Microsoft Store que descargaba SimpleHelp RAT (un tipo de software que permite a un atacante controlar la computadora), mientras que el mismo enlace en un teléfono Android contenía un tipo diferente de malware diseñado específicamente para ese sistema.

Un vínculo común en muchas de estas campañas es la distribución de ConnectWise RAT. El informe , compartido con Hackread.com, concluye que contar con múltiples métodos de ataque permite a los delincuentes recopilar más información y eludir la seguridad diseñada para detectar solo un tipo de amenaza, lo que marca un cambio notable en la forma en que operan los ciberdelincuentes.