Publicado el

Resumen del editor: Según Check Point Research, IcedID, un troyano bancario, ha aparecido en la escena del malware. IcedID se propaga a través de campañas de spam. Por lo tanto, los usuarios deben estar alertas a los correos electrónicos entrantes y recordar siempre no hacer clic en los enlaces de los correos electrónicos sospechosos. La versión del proveedor se encuentra a continuación.

El malware más buscado de marzo de 2021: el troyano bancario IcedID entra en el Top 10 después de la campaña relacionada con Covid

Check Point Research informa que IcedID ha ingresado en el índice global de malware por primera vez, ocupando el segundo lugar, después de explotar el COVID-19 pandemia para atraer nuevas víctimas

SINGAPUR, @mcgallen #microwireinfo, 14 de abril de 2021 - Check Point Research (CPR), el brazo de inteligencia de amenazas deCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para marzo de 2021. Los investigadores informan que el troyano bancario IcedID ingresó al Índice por primera vez, ocupando el segundo lugar, mientras que el establecido Dridex troyano fue el malware más frecuente durante marzo, frente al séptimo en febrero.

Visto por primera vez en 2017, IcedID se ha extendido rápidamente en marzo a través de varias campañas de spam, afectando al 11% de las organizaciones a nivel mundial. Una campaña generalizada utilizó un COVID-19 tema para atraer a nuevas víctimas a abrir archivos adjuntos de correo electrónico maliciosos; la mayoría de estos archivos adjuntos son documentos de Microsoft Word con una macro maliciosa que se utiliza para insertar un instalador para IcedID. Una vez instalado, el troyano intenta robar los detalles de la cuenta, las credenciales de pago y otra información confidencial de las PC de los usuarios. IcedID también utiliza otro malware para proliferar y se ha utilizado como la etapa de infección inicial en operaciones de ransomware.

"IcedID existe desde hace algunos años, pero recientemente se ha utilizado ampliamente, lo que demuestra que los ciberdelincuentes continúan adaptando sus técnicas para explotar organizaciones, utilizando la pandemia como disfraz", dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas. , Productos en Check Point. “IcedID es un troyano particularmente evasivo que utiliza una variedad de técnicas para robar datos financieros, por lo que las organizaciones deben asegurarse de contar con sistemas de seguridad sólidos para evitar que sus redes se vean comprometidas y minimizar los riesgos. La capacitación integral para todos los empleados es crucial, por lo que están equipados con las habilidades necesarias para identificar los tipos de correos electrónicos maliciosos que propagan IcedID y otro malware ".

CPR también advierte que la “ejecución remota de código de encabezados HTTP (CVE-2020-13756)” es la vulnerabilidad explotada más común, que afecta al 45% de las organizaciones a nivel mundial, seguida de la “ejecución remota de código MVPower DVR” que afecta al 44% de las organizaciones en todo el mundo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ocupa el tercer lugar en la lista de vulnerabilidades explotadas principales, con un impacto global del 44%.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes, Dridex es el malware más popular con un impacto global del 16% de las organizaciones, seguido de IcedID y Lokibot que afectan al 11% y al 9% de las organizaciones en todo el mundo, respectivamente.

  1. ↑ Dridex - Dridex es un troyano que apunta a la plataforma Windows y, según se informa, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.
  2. IcedID - IcedID es un troyano bancario que se propaga mediante campañas de correo no deseado y utiliza técnicas evasivas como la inyección de procesos y la esteganografía para robar datos financieros de los usuarios.
  3. ↑ Lokibot - Lokibot es un Info Stealer distribuido principalmente por correos electrónicos de phishing y se usa para robar varios datos, como credenciales de correo electrónico, así como contraseñas para billeteras CryptoCoin y servidores FTP.

Principales vulnerabilidades explotadas

Este mes, la “ejecución remota de código de encabezados HTTP (CVE-2020-13756)” es la vulnerabilidad explotada más común, que afecta al 45% de las organizaciones a nivel mundial, seguida de la “ejecución remota de código MVPower DVR” que afecta al 44% de las organizaciones en todo el mundo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ocupa el tercer lugar con un impacto global del 44%.

  1. ↑ Ejecución remota de código de encabezados HTTP (CVE-2020-13756) - Los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.
  2. ↑ Ejecución de código remoto MVPower DVR - Existe una vulnerabilidad de ejecución remota de código en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  3. Omisión de autenticación del enrutador Dasan GPON (CVE-2018-10561) - Existe una vulnerabilidad de omisión de autenticación en los enrutadores Dasan GPON. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos obtener información confidencial y obtener acceso no autorizado al sistema afectado.

Principal malware móvil

Hiddad ocupó el primer lugar en el índice de malware móvil más prevalente, seguido por xHelper y FurBall. 

  1. Hiddad - Hiddad es un malware de Android, que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.
  2. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y anuncios gráficos. La aplicación es capaz de ocultarse del usuario e incluso puede reinstalarse después de ser desinstalada.
  3. FurBall - FurBall es un MRAT (troyano de acceso remoto móvil) de Android que es implementado por APT-C-50, un grupo APT iraní conectado con el gobierno iraní. Este malware se utilizó en varias campañas que se remontan a 2017 y todavía está activo en la actualidad. Entre las capacidades de FurBall están; robar mensajes SMS y registros de llamadas móviles, grabar llamadas y alrededores, recopilar archivos multimedia, rastrear ubicaciones y más.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3 millones de sitios web y 600 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de marzo se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research 

Check Point Research proporciona inteligencia de ciberamenazas líder a Check Point Software clientes y la mayor comunidad de inteligencia. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Quiénes Somos Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y amenazas avanzadas dirigidas líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel, “Infinity Total Protection con prevención de amenazas avanzada Gen V”, esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###