Argentina: cuál es el malware más utilizado y las vulnerabilidades más explotadas

Emotet sigue manteniendo su reinado como el malware más utilizado, a pesar de que su impacto global se ha reducido en un 50%

Check Point Research publicó su Índice Global de Amenazas del mes de julio de 2022. Los investigadores informan que Emotet sigue manteniendo su reinado como el malware más utilizado, a pesar de que su impacto global se redujo en un 50% en comparación con el mes anterior.

Después de un pico negativo en el impacto global de Emotet en el mes de junio, alcanzó de nuevo sus cifras de impacto global y continúa como el malware más extendido. Posiblemente el impacto disminuyese debido a las vacaciones. Sin embargo, no dejan de descubrirse nuevas características y mejoras en sus capacidades como, por ejemplo, el último módulo de robo de tarjetas de crédito y los ajustes en sus sistemas de propagación.

En julio Snake Keylogger, un ladrón de credenciales, cayó del tercer al octavo puesto. En junio, se propagaba a través de documentos maliciosos de Word, por lo que la disminución de su prevalencia podría deberse en parte a la reciente confirmación de Microsoft de que bloqueará las macros por defecto.

El tercer puesto lo ocupa XMRig, un software de código abierto para CPU que se utiliza para la extracción de criptomonedas, lo que indica que los ciberdelincuentes están en esto fundamentalmente «por el dinero», a pesar de las motivaciones superiores que puedan alegar, como el hacktivismo. Malibot, que apareció por primera vez en el informe del mes pasado, sigue siendo una amenaza para los usuarios de la banca móvil, ya que es el tercer programa malicioso para móviles más frecuente en todo el mundo.

“Como era de esperar, Emotet continúa dominando nuestras listas mensuales de malware», explica Maya Horowitz, VP Research at Check Point Software. “Esta botnet evoluciona continuamente para mantener su persistencia y evasión. Sus últimos desarrollos incluyen un módulo de robo de tarjetas de crédito, lo que significa que las empresas y los individuos deben tener un cuidado adicional al hacer cualquier compra online. Además, ahora que Microsoft ha confirmado que bloqueará las macros por defecto, estamos a la espera de ver cómo los malwares, como Snake Keylogger, modifican sus tácticas”, concluye Horowitz

“La revelación de información del servidor web Git” fue la vulnerabilidad más explotada y común – afectando al 42% de las empresas de todo el mundo -, seguida muy de cerca por “Apache Log4j Remote Code Execution” que impactó en el 41% de las compañías a nivel mundial. “Servidores web URL maliciosos Directory Traversal” se sitúa en el tercer lugar del índice llegando a un 39% de las organizaciones.

Los 3 malware más buscados en Argentina en julio:

3. Emotet –Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero evolucionó para distribuir otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar su detección. Puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware afectó al 8,61% de las empresas en Argentina.
4. Ramnit – Ramnit es un troyano bancario modular que se descubrió por primera vez en 2010. Ramnit roba información de la sesión web, dando a sus operadores la capacidad de robar credenciales de cuenta para todos los servicios utilizados por la víctima, incluidas cuentas bancarias y cuentas corporativas y de redes sociales. El troyano utiliza tanto dominios codificados como dominios generados por un DGA (algoritmo de generación de dominio) para comunicarse con el servidor C&C y descargar módulos adicionales. En Argentina impactó al 6,62% de las organizaciones.
5. NJRat – NJRat es un troyano de acceso remoto, dirigido principalmente a agencias gubernamentales y organizaciones en el Medio Oriente. El troyano apareció por primera vez en 2012 y tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en los navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima. NJRat infecta a las víctimas a través de ataques de phishing y descargas no autorizadas, y se propaga a través de llaves USB o unidades en red infectadas, con la ayuda del software de servidor Command & Control. Este troyano afectó al 5,96% de las empresas en nuestro país.

Los sectores más atacados a nivel mundial:

Este mes, la Educación/Investigación es la industria más atacada a nivel mundial, seguida de las Gobierno/Militar y ISP/MSP

• Educación/Investigación
• Gobierno/Militar
• ISP/MSP

Los troyanos también están entre las amenazas más fuertes

Top 3 vulnerabilidades más explotadas en julio:

3. ↑ Filtración de información del repositorio Git–La vulnerabilidad en la exposición de información en el repositorio Git está reportada. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
4. ↔ Ejecución remota de código en Apache Log4j (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j que, si se explota de forma favorable, podría admitir que un atacante remoto ejecute un código arbitrario en el sistema afectado.
5. ↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente el URI para los patrones de recorrido de directorios. Una explotación exitosa permite a los atacantes remotos no autentificados acceder a archivos arbitrarios en el servidor vulnerable.

Top 3 del malware móvil mundial en julio:

3. AlienBot – Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
4. Anubis – Anubis es un troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó por primera vez, ganó funciones adicionales, incluyendo la capacidad de troyano de acceso remoto (RAT), keylogger, grabación de audio, entre otras. Se detectó en cientos de aplicaciones diferentes disponibles en la tienda de Google.
5. MaliBot – Malibot es un malware infostealer para Android que fue detectado dirigiéndose a usuarios de España e Italia. El infostealer se disfraza de aplicaciones de minería de criptomonedas bajo diferentes nombres y se centra en robar información financiera, carteras de criptomonedas y más datos personales.