La multinacional Check Point Research informó que ha publicado su Índice Global de Amenazas de mayo de 2022. Los investigadores dijeron que Emotet, un troyano avanzado, auto propagable y modular, sigue siendo el más prevalente como resultado de múltiples campañas generalizadas.
Sin embargo, Snake Keylogger ha saltado al octavo puesto tras una larga ausencia en el índice. La principal funcionalidad de Snake es registrar las pulsaciones de los usuarios y transmitir los datos recogidos a los ciberdelincuentes.
Snake Keylogger suele propagarse a través de emails que incluyen archivos adjuntos docx o xlsx con macros maliciosas, sin embargo, este mes los investigadores informaron que SnakeKey Logger también se ha propagado a través de archivos PDF. Esto podría deberse en parte a que Microsoft bloquea por defecto las macros de Internet en Office, lo que significa que los ciberdelincuentes han tenido que ser más creativos, explorando nuevos tipos de documentos. Esta rara forma de propagar el malware está resultando bastante eficaz, ya que algunas personas perciben los PDF como más seguros.
Por otra parte Emotet, está afectando al 8% de las organizaciones de todo el mundo, un ligero aumento con respecto al mes pasado. Este malware es tan ágil que resulta rentable gracias a su capacidad para pasar desapercibido. Su persistencia también hace que sea difícil de eliminar una vez que un dispositivo ha sido infectado, lo que lo convierte en la herramienta perfecta en el arsenal de un ciberdelincuente. Originalmente un troyano bancario, suele distribuirse a través de correos electrónicos de phishing y tiene la capacidad de incorporar otros malwares, lo que aumenta su habilidad para causar daños generalizados.
Ivonne Pedraza, Territory Manager CCA de Check Point Software, aseveró que “los virus y el código ejecutable malicioso pueden estar al acecho en el contenido multimedia y en los enlaces, con un ataque de malware, en este caso Snake Keylogger, listo para atacar una vez que el usuario lo abre. Por lo tanto, al igual que se cuestiona la legitimidad de un archivo adjunto de un email docx o xlsx, se debe tener la misma precaución con los PDF. En el panorama actual, nunca ha sido tan importante para las empresas contar con una sólida solución de seguridad para el correo electrónico que ponga en cuarentena e inspeccione los archivos adjuntos, impidiendo que cualquier documento malicioso entre en la red desde el principio”, entre otros.
Los 3 malware más buscados en Colombia en mayo:
Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
- ↔ Gupteba- Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 8.66% de las organizaciones en Colombia en mayo y su impacto global fue 1.55% en ese periodo.
- ↔ Remcos – Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en mayo tuvo un impacto en las empresas del 7.36% y a nivel global del 1.18%.
- ↔ Wacatac – Es una amenaza troyana que bloquea archivos, pero no los cifra como el Ransomware típico. Cuando Wacatac se infiltra en el sistema del usuario, cambia los nombres de los archivos de destino agregando una extensión «».wctw»». La falta de capacidad para cifrar datos hace que esta amenaza sea reversible. Por lo general, Wacatac está proliferado por campañas de correo electrónico no deseado y software falso. En mayo afectó en Colombia un 6.06% de las empresas y en el ámbito global un 0.70%.
Los sectores más atacados a nivel mundial:
Este mes, la Educación/Investigación es la industria más atacada a nivel mundial, seguida de las Gobierno/Militar y ISP/MSP.
- Educación/Investigación
- Gobierno/Militar
- ISP/MSP
Top 3 vulnerabilidades más explotadas en mayo:
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente el URI para los patrones de recorrido de directorios. Una explotación exitosa le permite a los atacantes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
- ↔ Ejecución remota de código en Apache Log4j (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j que, si se explota de forma favorable, podría admitir un atacante remoto ejecutar código arbitrario en el sistema afectado.
- ↔ Filtración de información del repositorio Git–La vulnerabilidad en la exposición de información en el repositorio Git está reportada. La explotación exitosa de esta vulnerabilidad podría permitir la
- Divulgación involuntaria de información de la cuenta.
Top 3 del malware móvil mundial en mayo:
- AlienBot – Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
- FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.
- xHelper – Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
