Una nueva campaña de Emotet esquiva los bloqueos de Microsoft y distribuye archivos maliciosos de OneNote globalmente
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de marzo. Los investigadores han descubierto una nueva campaña de malware del troyano Emotet que se sitúa como en el segundo malware más prevalente el mes pasado.
Los atacantes de Emotet han estado explorando desde principios de año formas alternativas de distribuir archivos maliciosos desde que Microsoft anunció que bloquearía las macros de los archivos de Office. En la última campaña, los ciberdelincuentes han adoptado una nueva estrategia que consiste en el envío de mensajes de spam con un archivo malicioso de OneNote. Una vez abierto, aparece un mensaje falso que engaña a la víctima para que haga clic en el documento, lo que descarga la infección de Emotet. Una vez instalado, el malware puede recopilar datos de correo electrónico del usuario, como credenciales de inicio de sesión e información de contacto. Así, utilizan la información recopilada para ampliar el alcance de la campaña y facilitar futuros ciberataques.
“Sabemos que Emotet es un troyano sofisticado y no nos sorprende ver que ha logrado sortear las últimas defensas de Microsoft. Lo más importante que pueden hacer los usuarios es asegurarse de que cuentan con la seguridad adecuada en el correo electrónico, evitar la descarga de archivos inesperados y comprobar siempre el origen de un e-mail y su contenido y en caso de sospecha, no hacer clic en ningún link”, asegura Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software.
Los 3 malware más buscados en Colombia en marzo de 2023:
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
1. ↔ Qbot – AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008 diseñado para robar las credenciales bancarias y las pulsaciones de teclas. A menudo se distribuye a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 11,02 % de los ataques en Colombia y del 10.30% en el mundo.
2. ↔ XMRig – XMRig es un software de minería de CPU de código abierto utilizado para minar la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para actividades de minado desde los dispositivos de las víctimas. En marzo impactó en un 9.32% a las empresas en Colombia y en el ámbito global en un 3.50%.
3. ↑ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 7.20% de las organizaciones en Colombia en marzo y su impacto global fue del 1.30% en el mismo periodo.
Las tres industrias más atacadas a nivel mundial
El mes pasado, la educación/investigación continuó siendo la industria más atacada a nivel mundial, seguida por gobierno/militar y sanidad.
1. Educación/investigación
2. Gobierno/militar
3. Sanidad
Las tres vulnerabilidades más explotadas en marzo:
Por otra parte, Check Point Research también reveló que "Apache Log4j Remote Code Execution" fue la vulnerabilidad más explotada y ha afectado al 44% de las empresas a nivel mundial, "Web Servers Malicious URL Directory Traversal", seguida por "Inyección de comandos sobre HTTP”, que afectó al 43% y Web Server Exposed Git Repository Information Disclosure", al 46%, con un impacto global del 45%.
1. Web Servers Malicious URL Directory Traversal - La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no depura correctamente el URI para los patrones transversales. La explotación permite acceder a archivos arbitrarios en el servidor vulnerado.
2. Inyección de comandos sobre HTTP (CVE-2021-43936, CVE-2022-24086) - Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un ciberdelincuente ejecutar código arbitrario en el equipo de destino.
3. MVPower DVR Ejecución remota de código - Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una solicitud crafteada.
Los tres malwares móviles más usados en marzo:
1. AhMyth –troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, que generalmente se usa para robar información confidencial.
2. Anubis –malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha ganado funcionalidades adicionales que incluyen troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. Hiddad - malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo
El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.