Una nueva campaña de Emotet esquiva los bloqueos de Microsoft

Ahmyth es el malware móvil más extendido y Log4j ha vuelto a ocupar el primer puesto como vulnerabilidad más explotada. Qbot se mantiene como el malware más frecuente y educación y gobierno siguen siendo la industria más atacada a nivel mundial


Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de marzo. Los investigadores han descubierto una nueva campaña de malware del troyano Emotet que se sitúa como el segundo malware más prevalente el mes pasado.

Los atacantes de Emotet han estado explorando desde principios de año formas alternativas de distribuir archivos maliciosos desde que Microsoft anunció que bloquearía las macros de los archivos de Office. En la última campaña, los ciberdelincuentes han adoptado una nueva estrategia que consiste en el envío de mensajes de spam con un archivo malicioso de OneNote. Una vez abierto, aparece un mensaje falso que engaña a la víctima para que haga clic en el documento, lo que descarga la infección de Emotet. Una vez instalado, el malware puede recopilar datos de correo electrónico del usuario, como credenciales de inicio de sesión e información de contacto. Así, utilizan la información recopilada para ampliar el alcance de la campaña y facilitar futuros ciberataques.

"Sabemos que Emotet es un troyano sofisticado y no nos sorprende ver que ha logrado sortear las últimas defensas de Microsoft. Lo más importante que pueden hacer los usuarios es asegurarse de que cuentan con la seguridad adecuada en el correo electrónico, evitar la descarga de archivos inesperados y comprobar siempre el origen de un e-mail y su contenido y en caso de sospecha, no hacer clic en ningún link", asegura dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.

Los 3 malware más buscados en Argentina en marzo:

  1.  Qbot – AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008 diseñado para robar las credenciales bancarias y las pulsaciones de teclas. A menudo se distribuye a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 16,55 % de los ataques en Argentina.
  2. Nanocore: NanoCore es un troyano de acceso remoto que se dirige a los usuarios del sistema operativo Windows y se observó por primera vez en estado salvaje en 2013. Todas las versiones de RAT contienen complementos y funcionalidades básicas, como captura de pantalla, minería de criptomonedas, control remoto del escritorio y robo de sesión de cámara web. Su incidencia  en el país es del  5.52%.
  3. Injuke: Injuke es un troyano propagado principalmente a través de correos electrónicos de phishing. Tan pronto como el troyano infecta el sistema, encripta la información en la PC de la víctima o impedirá que la herramienta funcione de manera correcta, mientras muestra una nota de rescate exigiendo ser pagado para descifrar los documentos o restaurar el sistema de archivos a su estado original. Este troyano impactó en 4,15% de las empresas argentinas.

Las tres industrias más atacadas a nivel mundial

El mes pasado, la educación/investigación continuó siendo la industria más atacada a nivel mundial, seguida por gobierno/militar y sanidad.

  1. Educación/investigación
  2. Gobierno/militar
  3. Sanidad

 Las tres vulnerabilidades más explotadas en marzo:

Por otra parte, Check Point Research también reveló que «Apache Log4j Remote Code Execution» fue la vulnerabilidad más explotada y ha afectado al 44% de las empresas a nivel mundial, «Web Servers Malicious URL Directory Traversal«, seguida por «Inyección de comandos sobre HTTP", que afectó al 43% y Web Server Exposed Git Repository Information Disclosure«, al 46%, con un impacto global del 45%.

  1. Web Servers Malicious URL Directory Traversal – La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no depura correctamente el URI para los patrones transversales. La explotación permite acceder a archivos arbitrarios en el servidor vulnerado.
  2. Inyección de comandos sobre HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un ciberdelincuente ejecutar código arbitrario en el equipo de destino.
  3. MVPower DVR Ejecución remota de código – Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una solicitud crafteada.

Los tres malwares móviles más usados en marzo:

  1. AhMyth –troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, que generalmente se usa para robar información confidencial.
  2. Anubis –malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha ganado funcionalidades adicionales que incluyen troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
  3. Hiddad – malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

La lista completa de las 10 familias principales de malware en marzo está disponible en el blog de Check Point Software.

No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.