Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. ha publicado su Índice Global de Amenazas del mes de octubre. En Colombia el primer lugar lo ocupó Android.pandora, seguido por Remcos y en tercer lugar Glupteba.
Durante este periodo, el troyano de acceso remoto (RAT) NJRat, conocido por atacar a organismos públicos e instituciones de Oriente Próximo, ha ascendido cuatro puestos, del sexto al segundo lugar. Mientras tanto, se ha puesto en marcha una nueva campaña de spam malicioso con la RAT avanzada AgentTesla, y el sector más atacado globalmente es el de las comunicaciones.
Se ha visto que en octubre AgentTesla se distribuía a través de archivos comprimidos que alojaban una extensión maliciosa Microsoft Compiled HTML Help (.CHM). Los documentos se enviaban por correo electrónico como archivos adjuntos .GZ o .zip con nombres relacionados con pedidos y envíos recientes, como – po-######.gz / shipping documents.gz, diseñados para atraer a los destinatarios a descargar el malware. Una vez instalado, AgentTesla es capaz de registrar las pulsaciones del teclado, capturar datos del portapapeles, acceder al sistema de archivos y transferir subrepticiamente la información robada a un servidor de Mando y Control (C&C).
«No podemos permitirnos pasar por alto las tácticas que utilizan los ciberdelincuentes para distribuir malware, como imitar marcas conocidas o enviar archivos maliciosos por email», afirma Maya Horowitz, VP Research de Check Point Software.
«A medida que nos adentramos en noviembre, en una época de compras muy ajetreada, es importante permanecer alerta y recordar que los atacantes se aprovechan activamente de lo mucho que nos interesan las ofertas y los envíos online”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.
CPR también ha revelado que “Inyección de comandos por Zyxel zyWALL” ha sido la vulnerabilidad más explotada en octubre y que ha afectado al 42% de las empresas a nivel global, seguido de “Inyección de comandos a través de HTTP” con el 42% y “Web Servers Malicious URL Directory Traversal” con otro el 42%.
Los tres malware más buscados en Colombia en octubre:
*Las flechas indican el cambio en el ranking en comparación con el mes pasado.
1. ↑ Android.pandora – Android.pandora es un malware, que a su vez es una versión modificada del troyano Mirai, cuyo objetivo es comprometer dispositivos IoT con el fin de crear una botnet. Android.pandora, está diseñado para explotar dispositivos de TV basados en Android. La infección generalmente se inicia mediante el uso de aplicaciones de películas y TV pirateadas o actualizaciones de firmware fraudulentas. Su impacto a las empresas colombianas fue en el mes de octubre del 6.73% y globalmente del 0.52%.
2. ↑Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en octubre en un 6,73% a las empresas en Colombia y en 1.89% a las empresas en el mundo.
3. ↑Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 3.67% de las organizaciones en Colombia durante octubre y su impacto global fue de 0.72%.
Las tres industrias más atacadas en octubre:
Comunicaciones continuó siendo la industria más atacada a nivel mundial, seguida por Finanzas/banca y Salud.
1. Comunicaciones
2. Finanzas/Banca
3. Salud
Las tres vulnerabilidades más explotadas en octubre
Por otra parte, Check Point Software señala que el mes pasado la vulnerabilidad más utilizada fue la de “Inyección del comando Zyxel ZyWALL”, impactando en un 42% de las empresas en todo el mundo, seguido de “Inyección de comandos a través de HTTP” con un 42 % e “Web Servers Malicious URL Directory Traversal” con un 42%.
1. ↑ Inyección del comando Zyxel ZyWALL (CVE-2023-28771) – La explotación de esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios de forma remota en el sistema operativo en el dispositivo afectado.
2. ↔ Inyección de comandos a través de HTTP – Un atacante remoto puede enviar una solicitud especialmente diseñada a la víctima y, si tiene éxito, le permite ejecutar un código arbitrario en el dispositivo objetivo.
3. ↓ Web Servers Malicious URL Directory Traversal – Esta vulnerabilidad se debe a un error de validación de la entrada en servidores web que no ha desinfectado adecuadamente la URL. Una explotación exitosa permite a los atacantes remotos sin autentificar revelar o acceder a cualquier archivo del servidor atacado.
Los tres malware móviles más usados en octubre
1. Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
2. AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.
3. Hiddad – Hiddad es un malware para Android que re empaqueta aplicaciones legítimas y las coloca en la tienda de un tercero. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.
El Índice Global de Impacto de Amenazas de Check Point Software y su mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.