Vigile Qbot y otros programas maliciosos en curso

Foto de Philipp Katzenberger en Unsplash

Resumen del editor: El COVID-19 La saga está en curso y se agrava no solo en los problemas relacionados con la atención médica en todo el mundo, sino también en la ciberseguridad. En una crisis mundial, especialmente en una en la que la economía se estanca en todo el mundo, se pierden millones de puestos de trabajo, aumentan las deudas y el subempleo, habrá personas que podrían recurrir al crimen. Por tanto, el ciberdelito es una de esas tendencias emergentes en todo el mundo. Qbot, un troyano bancario que surgió por primera vez en 2008, que funciona como una "puerta trasera" en las computadoras de los usuarios, puede robar información confidencial y personal y otras actividades maliciosas de malware. El informe mensual de Check Point Software destaca esta amenaza de ciberseguridad en curso. El comunicado de prensa del proveedor se encuentra a continuación.


El malware más buscado de agosto de 2020: el troyano Qbot evolucionado ocupa el primer lugar en la lista de malware por primera vez

Los investigadores de Check Point encuentran que la nueva variante peligrosa de Qbot se está propagando a través de campañas de malspam para ejecutar el robo de credenciales, la instalación de ransomware y transacciones bancarias no autorizadas

SINGAPUR, @mcgallen #microwireinfo, 10 de septiembre de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para agosto de 2020. Los investigadores encontraron que el troyano Qbot, también conocido como Qakbot y Pinkslipbot, ha entrado en el índice de malware top ten por primera vez tiempo, clasificándose como el décimo malware más prevalente en agosto, mientras que el troyano Emotet permanece en el primer lugar por segundo mes, impactando al 10% de las organizaciones a nivel mundial.

Visto por primera vez en 2008, Qbot se ha desarrollado continuamente y ahora utiliza sofisticadas técnicas de instalación de ransomware y robo de credenciales, lo que lo convierte en el equivalente de malware de una navaja suiza según los investigadores. Qbot ahora también tiene una nueva característica peligrosa: un módulo de recopilación de correo electrónico especializado que extrae los hilos de correo electrónico del cliente Outlook de la víctima y los carga en un servidor remoto externo. Esto permite a Qbot secuestrar las conversaciones de correo electrónico legítimas de los usuarios infectados y luego enviar spam utilizando esos correos electrónicos secuestrados para aumentar sus posibilidades de engañar a otros usuarios para que se infecten. Qbot también puede habilitar transacciones bancarias no autorizadas, al permitir que su controlador se conecte a la computadora de la víctima.

Los investigadores de Check Point encontraron varias campañas utilizando la nueva cepa de Qbot entre marzo y agosto de 2020, que incluyó Qbot distribuido por el troyano Emotet. Esta campaña impactó 5% de organizaciones a nivel mundial en julio 2020.

“Los actores de amenazas siempre están buscando formas de actualizar las formas comprobadas de malware existentes y claramente han estado invirtiendo fuertemente en el desarrollo de Qbot para permitir el robo de datos a gran escala por parte de organizaciones e individuos. Hemos visto campañas activas de malspam que distribuyen Qbot directamente, así como el uso de infraestructuras de infección de terceros como Emotet para extender la amenaza aún más. Las empresas deben considerar la implementación de soluciones anti-malware que puedan evitar que dicho contenido llegue a los usuarios finales y aconsejar a los empleados que sean cautelosos al abrir correos electrónicos, incluso cuando parecen provenir de una fuente confiable ”, dijo Maya Horowitz, Directora de Inteligencia e Investigación de Amenazas , Productos en Check Point.

El equipo de investigación también advierte que la “Divulgación de información del repositorio Git expuesto al servidor web” es la vulnerabilidad explotada más común, que afecta al 47% de las organizaciones a nivel mundial, seguida de la “Ejecución remota de código MVPower DVR” que afectó al 43% de las organizaciones en todo el mundo. “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” ocupa el tercer lugar, con un impacto global del 37%.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior

Este mes Emotet sigue siendo el malware más popular con un impacto global del 14% de las organizaciones, seguido de cerca por Agente Tesla y Formbook afectando al 3% de las organizaciones cada una.

  1. ↔ Emotet - Emotet es un troyano avanzado, autopropagable y modular. Emotet era originalmente un troyano bancario, pero recientemente se utiliza como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos no deseados de phishing que contienen adjuntos o enlaces maliciosos.
  2. ↑ Agente Tesla - El agente Tesla es un RAT avanzado que funciona como un registrador de teclas y un ladrón de información, capaz de monitorear y recopilar la entrada del teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y extraer credenciales que pertenecen a una variedad de software instalado en la máquina de la víctima (incluido Google Chrome , Cliente de correo electrónico Mozilla Firefox y Microsoft Outlook).
  3. ↑ Formbook - Formbook es un Info Stealer que recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con sus órdenes de C&C.

Principales vulnerabilidades explotadas

Este mes "Divulgación de información del repositorio Git expuesto al servidor web" es la vulnerabilidad explotada más común, que afecta al 47% de las organizaciones a nivel mundial, seguida de "Ejecución remota de código de MVPower DVR" que impactó al 43% de las organizaciones en todo el mundo. "Omisión de autenticación de enrutador Dasan GPON (CVE-2018-10561)" ocupa el tercer lugar, con un impacto global del 37%.

  1. Divulgación de información del repositorio Git expuesto del servidor web - Una vulnerabilidad de divulgación de información que se ha informado en Git Repository. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
  2. Ejecución de código remoto MVPower DVR - Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.
  3. Omisión de autenticación del enrutador Dasan GPON (CVE-2018-10561) - Una vulnerabilidad de omisión de autenticación que existe en los enrutadores Dasan GPON. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos obtener información sensible y obtener acceso no autorizado al sistema afectado.

Principales familias de malware para dispositivos móviles

Este mes xHelper es el malware móvil más popular, seguido de necro y Hiddad.

  1. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación puede ocultarse del usuario y reinstalarse en caso de que se desinstale.
  2. necro - Necro es un Trojan Dropper de Android. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones pagas.
  3. Hiddad Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 principales familias de malware de agosto se puede encontrar en el Blog de Check Point. Los recursos de prevención de amenazas de Check Point están disponibles en http://www.checkpoint.com/threat-prevention-resources/index.html

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y amenazas dirigidas avanzadas. Check Point ofrece una arquitectura de seguridad multinivel, “Infinity Total Protection con prevención de amenazas avanzada Gen V”, esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###