Check Point Research ha publicado su último Índice Global de Amenazas de agosto de 2020. En esta nueva entrega los investigadores de la compañía destacan la posición de liderazgo de Emotet como el malware más buscado. En España, este troyano ha afectado a un 17,18% de las compañías (casi un 4% más que la media global). Asimismo, el troyano Qbot, también conocido como Qakbot y Pinkslipbot, se ha situado por primera vez en los diez primeros puestos del índice de malware (10º posición).
Qbot, que fue visto por primera vez en 2008, actualidad utiliza técnicas sofisticadas de robo de credenciales e instalación de ransomware, lo que lo convierte en un malware multidisciplinar y multiusos. Además, ahora cuenta con una nueva y peligrosa característica: un módulo especializado en recolección de correos electrónicos que extrae los hilos de emails de Outlook de la víctima y los sube a un servidor remoto externo. Esto permite a Qbot “secuestrar” conversaciones de correo electrónico de usuarios infectados, y luego enviar spam por sí mismo utilizando esos correos electrónicos para incrementar sus posibilidades de engañar a otros usuarios con el fin de que se infecten. También puede habilitar transacciones bancarias no autorizadas, permitiendo a su administrador conectarse al ordenador de la víctima.
Los investigadores de Check Point encontraron varias campañas con la nueva variante de Qbot entre marzo y agosto de 2020, que incluían la distribución de este virus informático a través del troyano Emotet. Esta campaña impactó al 5% de las empresas a nivel mundial en julio de 2020.
“Los ciberdelincuentes están siempre buscando maneras de actualizar las formas de malware y claramente han estado invirtiendo esfuerzos en el desarrollo de Qbot para el robo a gran escala de datos de empresas y usuarios. Hemos observado campañas activas de malspam que han distribuido Qbot directamente, así como el uso de terceras infraestructuras como la de Emotet, para extender la amenaza aún más”, señala Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos en Check Point. “Las empresas deberían considerar la posibilidad de desplegar soluciones antimalware que puedan evitar que este tipo de contenido llegue a los usuarios finales y recomendar a los empleados que sean especialmente cuidadosos al abrir los correos electrónicos, incluso cuando parezcan proceder de una fuente de confianza”, añade Horowitz.
El equipo de investigación de Check Point también advierte que la “Revelación de información del servidor web Git“ (47% de las empresas afectadas a nivel mundial) es la vulnerabilidad más frecuentemente explotada por los cibercriminales, seguida de la “Ejecución remota de código MVPower DVR”, (43%) y “Dasan GPON Bypass de autentificación del router “ (37%).
Índice de temas
Los tres malwares más buscados
- Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 17.18% de las empresas españolas.
- Agent Tesla – Es un RAT avanzado que funciona como un keylogger y un usurpador de contraseñas que ha estado infectando ordenadores desde 2014. AgentTesla es capaz de monitorizar y registrar las teclas marcadas pulsadas por la víctima, el portapapeles del sistema, toma capturas de pantalla y extrae credenciales pertenecientes a una variedad de software instalado en la unidad de la víctima (incluyendo Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). Esta RAT ha atacado al 4.26% de las empresas en España.
- Formbook – Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 4.09% de las empresas en España.
Top 3 vulnerabilidades más explotadas en agosto
- Revelación de información del servidor web Git – Se ha informado acerca de una vulnerabilidad de divulgación de información en el Repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.
- Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.
- Dasan GPON Bypass de autentificación del router– Una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La exitosa explotación de esta vulnerabilidad permitiría a los cibercriminales remotos obtener información sensible y acceder sin autorización al sistema afectado.
Top 3 del malware móvil mundial en agosto
- xHelper –Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación es capaz de evadir los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
- Necro – Necro es un troyano para Android con goteo. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones de pago.
- Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.