Check Point Software Technologies Ltd. proveedor de soluciones de ciberseguridad mundial, publicó su Índice Global de Amenazas correspondiente al mes de marzo 2023.
El mes pasado, los investigadores descubrieron una nueva campaña de malware para el troyano Emotet, que ascendió hasta convertirse en el segundo malware más prevalente el mes pasado.
Como se informó a principios de este año, los atacantes de Emotet han estado explorando formas alternativas de distribuir archivos maliciosos desde que Microsoft anunció que bloquearía las macros de los archivos de Office. En la última campaña, los atacantes han adoptado una nueva estrategia consistente en enviar correos electrónicos de spam que contienen un archivo malicioso de OneNote. Una vez abierto, aparece un mensaje falso que engaña a la víctima para que haga clic en el documento, lo que descarga la infección Emotet. Una vez instalado, el malware puede recopilar datos de correo electrónico del usuario, como credenciales de inicio de sesión e información de contacto. Los atacantes utilizan entonces la información recopilada para ampliar el alcance de la campaña y facilitar futuros ataques.
«Aunque las grandes empresas tecnológicas hacen todo lo posible para cortar el paso a los ciberdelincuentes en el punto más temprano, es casi imposible impedir que todos los ataques eludan las medidas de seguridad. Sabemos que Emotet es un troyano sofisticado y no nos sorprende ver que ha logrado sortear las últimas defensas de Microsoft. Lo más importante que puede hacer la gente es asegurarse de que cuenta con la seguridad adecuada en el correo electrónico, evitar la descarga de archivos inesperados y adoptar un escepticismo saludable sobre los orígenes de un correo electrónico y su contenido», afirmó Maya Horowitz, Vicepresidenta de Investigación de Check Point Software.
CPR también reveló que «Apache Log4j Remote Code Execution» fue la vulnerabilidad más explotada, afectando al 44% de las organizaciones a nivel mundial, seguida de «HTTP Headers Remote Code Execution» con un 43% de las organizaciones en todo el mundo y «MVPower DVR Remote Code Execution» con un impacto global del 40%.
Principales familias de malware
Qbot fue el malware más prevalente el mes pasado con un impacto de más del 10% en organizaciones de todo el mundo respectivamente, seguido de Emotet y Formbook con un impacto global del 4%.
Qbot – Qbot AKA Qakbot es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias o las pulsaciones de teclado de un usuario y se distribuye a menudo a través de correos electrónicos de spam. Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
Emotet – Emotet es un troyano avanzado, autopropagable y modular. Emotet solía emplearse como troyano bancario, pero recientemente se ha utilizado como distribuidor de otro malware o de campañas maliciosas. Utiliza múltiples métodos para mantener su persistencia y técnicas de evasión para evitar ser detectado. Además, puede propagarse a través de correos electrónicos spam de phishing que contienen adjuntos o enlaces maliciosos.
FormBook – FormBook es un Infostealer dirigido al sistema operativo Windows y fue detectado por primera vez en 2016. Se comercializa como Malware as a Service (MaaS) en foros clandestinos de hacking por sus fuertes técnicas de evasión y su precio relativamente bajo. Formbook obtiene credenciales de varios navegadores web, recopila capturas de pantalla, monitoriza y registra las pulsaciones de teclado y puede descargar y ejecutar archivos según las órdenes de su C&C.
Principales sectores atacados en todo el mundo
El mes pasado, el sector de la educación/investigación siguió siendo el más atacado a escala mundial, seguido del sector gubernamental/militar y, por último, el de la sanidad.
Educación/investigación
Gobierno/Militar
Sanidad
Principales vulnerabilidades explotadas
El mes pasado, «Apache Log4j Remote Code Execution» fue la vulnerabilidad más explotada, impactando al 44% de las organizaciones a nivel global, seguida de «HTTP Headers Remote Code Execution» con un 43% de las organizaciones a nivel mundial y «MVPower DVR Remote Code Execution» con un impacto global del 40%.
Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.
↑ Ejecución remota de código en cabeceras HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Las cabeceras HTTP permiten al cliente y al servidor pasar información adicional con una petición HTTP. Un atacante remoto puede utilizar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
↑MVPower DVR Ejecución remota de código – Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una solicitud crafteada.
Principales programas maliciosos para móviles
El mes pasado, Ahmyth pasó al primer puesto como el malware móvil más prevalente, seguido de Anubis e Hiddad.
AhMyth – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas apps infectadas, el malware puede recopilar información sensible del dispositivo y realizar acciones como keylogging, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara.
Anubis – Anubis es un troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales, como la funcionalidad de troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias funciones de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
Hiddad – Hiddad es un malware para Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
Fuente: Check Point Software Technologies.
El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud se basan en la inteligencia ThreatCloud de Check Point. ThreatCloud proporciona inteligencia sobre amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, en redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, el brazo de inteligencia e investigación de Check Point Software Technologies.