Los investigadores de Check Point publican el malware más buscado de abril de 2020

20160817_chkp_graphic

Resumen del editor: Pasó un mes más, y mientras el mundo lidia con el virus SARS-CoV-2 que causó no solo muertes desafortunadas, sino especialmente una depresión económica colosal, colapsos comerciales, industrias enteras paralizadas e importantes pérdidas de empleos por valor de cientos de millones. en todo el mundo. En medio de este desastre global, todavía hay problemas de ciberseguridad en todas partes, con piratería, intrusiones y robos continuos. Los investigadores de Check Point publican periódicamente breves actualizaciones de noticias de los peores infractores del malware cada mes. El comunicado de prensa del proveedor se encuentra a continuación.

El malware más buscado de abril de 2020: el troyano de acceso remoto Agent Tesla se propaga ampliamente COVID-19 Campañas de spam relacionadas

Los investigadores de Check Point encuentran un fuerte aumento en los ataques utilizando la nueva versión del Agente Tesla capaz de robar contraseñas de Wi-Fi, mientras que el troyano bancario Dridex es la amenaza más común

SINGAPUR, @mcgallen #microwireinfo, 12 de mayo de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su Índice de amenazas globales más reciente para abril de 2020. Los investigadores vieron varios COVID-19 campañas de spam relacionadas que distribuyen una nueva variante del troyano de acceso remoto Agent Tesla, lo que lo lleva al tercer lugar en el índice, lo que afecta al 3% de las organizaciones en todo el mundo.

La nueva variante de Agent Tesla se ha modificado para robar contraseñas de Wi-Fi además de otra información, como las credenciales de correo electrónico de Outlook, de las PC de destino. Durante abril, el agente Tesla se distribuyó como un archivo adjunto en varios COVID-19 campañas de spam relacionadas, que intentan atraer a la víctima para que descargue archivos maliciosos con el pretexto de proporcionar información interesante sobre la pandemia. Una de estas campañas afirmó haber sido enviada por la Organización Mundial de la Salud con el tema 'CARTA DE INFORMACIÓN URGENTE: PRIMER HUMANO COVID-19 PRUEBA DE VACUNA / ACTUALIZACIÓN DE RESULTADOS. ' Esto destaca cómo los piratas informáticos aprovecharán los eventos de noticias globales y las preocupaciones del público para aumentar sus tasas de éxito de los ataques.

El conocido troyano bancario Dridex, que entró en el top ten del índice de amenazas por primera vez en marzo, tuvo un impacto aún mayor en abril. Subió al primer lugar en el índice desde el tercero el mes pasado, impactando al 1% de las organizaciones en todo el mundo. XMRig, el malware más común de marzo, cayó al segundo lugar.

"Las campañas de malspam del Agente Tesla que vimos en abril subrayan cuán ágiles pueden ser los ciberdelincuentes cuando se trata de explotar eventos noticiosos y engañar a víctimas desprevenidas para que hagan clic en un enlace infectado", dijo Maya Horowitz, directora de Inteligencia e Investigación de Amenazas, Productos de Check. Punto. “Con el Agente Tesla y Dridex entre los tres primeros del índice de amenazas, los delincuentes se están enfocando en robar los datos y credenciales personales y comerciales de los usuarios para que puedan monetizarlos. Por lo tanto, es esencial que las organizaciones adopten un enfoque proactivo y dinámico para la educación del usuario, manteniendo a su personal informado sobre las últimas herramientas y técnicas, especialmente porque ahora hay más personal trabajando desde casa ".

El equipo de investigación también advierte que “MVPower DVR Remote Code Execution” siguió siendo la vulnerabilidad explotada más común, aunque su impacto aumentó para cubrir el 46% de las organizaciones a nivel mundial. Esto fue seguido de cerca por la “Divulgación de información del latido del corazón de OpenSSL TLS DTLS” con un impacto global del 41%, seguida de la “Inyección de comandos sobre la carga útil HTTP” que afecta al 40% de las organizaciones en todo el mundo.

Principales familias de malware
* Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes, Dridex sube al primer lugar, impactando al 1% de las organizaciones a nivel mundial, seguido por XMRig y Agent Tesla que impactan al 4% y al 4% de las organizaciones en todo el mundo, respectivamente.

  1. ↑ Dridex - Dridex es un troyano que se dirige a la plataforma Windows y, según se informa, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.
  2. ↓ XMRig - XMRig es un software de minería de CPU de código abierto que se utiliza para el proceso de minería de la criptomoneda Monero, que se vio por primera vez en estado salvaje en mayo de 2017.
  3. ↑ Agente Tesla - El agente Tesla es un RAT avanzado que funciona como un registrador de teclas y un ladrón de información, que es capaz de monitorear y recopilar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y filtrar credenciales a una variedad de software instalado en la máquina de la víctima (incluido Google Chrome , Mozilla Firefox y el cliente de correo electrónico de Microsoft Outlook).

Principales vulnerabilidades explotadas
Este mes, “MVPower DVR Remote Code Execution” fue la vulnerabilidad explotada más común, afectando al 46% de las organizaciones a nivel mundial, seguida de “OpenSSL TLS DTLS Heartbeat Information Disclosure” con un impacto global del 41%. En tercer lugar, la vulnerabilidad "Command Injection Over HTTP Payload" afectó al 3% de las organizaciones en todo el mundo, principalmente en ataques que explotan una vulnerabilidad de día cero en enrutadores y dispositivos de conmutación "DrayTek" (CVE-40-2020).

  1. ↔ MVPower DVR Ejecución remota de código - Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  2. ↑ OpenSSL TLS DTLS Divulgación de información de latido (CVE-2014-0160; CVE-2014-0346) - Una vulnerabilidad de divulgación de información que existe en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
  3. ↑ Inyección de comandos sobre carga útil HTTP - Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.

Principales familias de malware: móvil
Este mes, xHelper sigue ocupando el primer lugar como el malware móvil más prevalente, seguido por Lotoor y AndroidBauts.

  1. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de ocultarse del usuario y se reinstala si se desinstala.
  2. Lotoor - Lotoor es una herramienta de piratería que aprovecha las vulnerabilidades del sistema operativo Android para obtener privilegios de root en dispositivos móviles comprometidos.
  3. AndroidBauts - AndroidBauts es un adware dirigido a usuarios de Android. Exfiltra IMEI, IMSI, ubicación GPS y otra información del dispositivo y permite la instalación de aplicaciones y accesos directos de terceros en dispositivos móviles.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de abril se puede encontrar en el Blog de Check Point.

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y amenazas dirigidas avanzadas. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###