Vulnerabilidades en criptominería, DVR y esa plaga xHelper

20160817_chkp_graphic

Resumen del editor: el malware Cryptomining abunda, especialmente cuando el dinero barato o “gratis” atrae a algunas personas sin escrúpulos a aprovechar los recursos de la CPU de algunas personas. Del mismo modo, si ha descargado algún software de Android y tiene muchas ventanas emergentes locas, es posible que tenga una infección xHelper. Sin embargo, esta plaga es persistente y casi imposible de eliminar. Afortunadamente, hay formas de eliminar el malware xHelper ahora. La actualización de malware mensual regular de Check Point Software es útil si se encuentra en ciberseguridad y necesita un breve resumen. El comunicado de prensa del proveedor se encuentra a continuación.

El malware más buscado de marzo de 2020: el troyano bancario Dridex ocupa el primer lugar en la lista de malware por primera vez
Los investigadores de Check Point encuentran que Dridex se ha actualizado y difundido a través de múltiples campañas de spam para entregar ransomware dirigido, aumentando el riesgo del troyano de larga data.

SINGAPUR, @mcgallen #microwireinfo, 13 de abril de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, ha publicado su último Índice de amenazas globales para marzo de 2020. El conocido troyano bancario Dridex, que apareció por primera vez en 2011, ha entrado en la lista de los diez principales malware por primera vez. tiempo, como el tercer malware más prevalente en marzo. Dridex se ha actualizado y ahora se utiliza en las primeras etapas del ataque para descargar ransomware dirigido, como BitPaymer y DoppelPaymer.

El fuerte aumento en el uso de Dridex fue impulsado por varias campañas de spam que contienen un archivo de Excel malicioso que descarga el malware Dridex en la computadora de la víctima. Este aumento del malware Dridex destaca la rapidez con la que los ciberdelincuentes cambian los temas de sus ataques para intentar maximizar las tasas de infección. Dridex es una cepa sofisticada de malware bancario que tiene como objetivo la plataforma Windows, que envía campañas de spam para infectar computadoras y robar credenciales bancarias y otra información personal para facilitar transferencias de dinero fraudulentas. El malware se ha actualizado y desarrollado sistemáticamente durante la última década.

XMRig se mantiene en el primer lugar en el Índice de las principales familias de malware, impactando al 1% de las organizaciones a nivel mundial, seguido por Jsecoin y Dridex, que impactaron al 5% y 4% de las organizaciones en todo el mundo, respectivamente.

"Dridex aparece por primera vez como una de las principales familias de malware muestra la rapidez con que los ciberdelincuentes pueden cambiar sus métodos", dijo Maya Horowitz, directora de inteligencia e investigación de amenazas, productos de Check Point. “Este tipo de malware puede resultar muy lucrativo para los delincuentes dada su sofisticación, y ahora se utiliza como un descargador de ransomware, lo que lo hace aún más peligroso que las variantes anteriores. Por lo tanto, las personas deben tener cuidado con los correos electrónicos con archivos adjuntos, incluso si parecen provenir de una fuente confiable, especialmente con la explosión del trabajo desde el hogar durante las últimas semanas. Las organizaciones deben educar a los empleados sobre cómo identificar el spam malicioso e implementar medidas de seguridad que ayuden a proteger a sus equipos y redes contra tales amenazas ”.

El equipo de investigación también advierte que "MVPower DVR Remote Code Execution" sigue siendo la vulnerabilidad explotada más común, que afecta al 30% de las organizaciones a nivel mundial, seguida de cerca por "PHP php-cgi Query String Parameter Code Execution" con un impacto global del 29%, seguido de por “Divulgación de información del latido del corazón de OpenSSL TLS DTLS” que afecta al 27% de las organizaciones en todo el mundo.

Principales familias de malware

* Las flechas se refieren al cambio de rango en comparación con el mes anterior.
Este mes XMRig permanece en el 1er lugar, impactando al 5% de las organizaciones a nivel mundial, seguido por Jsecoin y Dridex impactando al 4% y 3% de las organizaciones en todo el mundo, respectivamente.

  1. ↔ XMRig - XMRig es un software de minería de CPU de código abierto utilizado para el proceso de minería de la criptomoneda Monero, visto por primera vez en la naturaleza en mayo de 2017.
  2. ↑ Jsecoin - Jsecoin es un criptominero basado en la web, diseñado para realizar minería en línea de la criptomoneda Monero cuando un usuario visita una página web en particular. El JavaScript implantado utiliza una gran cantidad de recursos computacionales del usuario final para extraer monedas, lo que afecta el rendimiento del sistema.
  3. ↑ Dridex - Dridex es un troyano bancario que se dirige a la plataforma Windows y se envía mediante campañas de spam y kits de explotación, que dependen de WebInjects para interceptar y redirigir las credenciales bancarias a un servidor controlado por el atacante. Dridex contacta con un servidor remoto, envía información sobre el sistema infectado y también puede descargar y ejecutar módulos adicionales para control remoto.

Principales vulnerabilidades explotadas

Este mes el "Ejecución de código remoto MVPower DVR"Sigue siendo la vulnerabilidad explotada más común, que afecta al 30% de las organizaciones a nivel mundial, seguida de cerca por"Ejecución de código de parámetro de cadena de consulta PHP php-cgi”Con un impacto global del 29%. En tercer lugar "Divulgación de información de latido de OpenSSL TLS DTLS”Está afectando al 27% de las organizaciones en todo el mundo. <

1. ↔ MVPower DVR Ejecución remota de código - Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede aprovechar esta debilidad para ejecutar código arbitrario en el enrutador afectado mediante una solicitud diseñada.

2. ↑ PHP php-cgi Ejecución de código de parámetro de cadena de consulta - Una vulnerabilidad de ejecución remota de código que se ha informado en PHP. La vulnerabilidad se debe al análisis y filtrado incorrectos de las cadenas de consulta por parte de PHP. Un atacante remoto puede aprovechar este problema enviando solicitudes HTTP diseñadas. La explotación exitosa permite a un atacante ejecutar código arbitrario en el objetivo.

3. ↓ Divulgación de información de latidos del corazón de OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Una vulnerabilidad de divulgación de información que existe en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes de latido TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.

Principales familias de malware: móvil

Este mes xHelper mantuvo el primer lugar en el malware móvil más prevalente, seguido por AndroidBauts y Lotoor.

1. xHelper - Una aplicación maliciosa vista en estado salvaje desde marzo de 2019, utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación puede ocultarse del usuario y reinstalarse en caso de desinstalarse.

2. AndroidBauts - Adware dirigido a usuarios de Android que filtra IMEI, IMSI, ubicación GPS y otra información del dispositivo y permite la instalación de aplicaciones y accesos directos de terceros en dispositivos móviles.

3. Lotoor - Una herramienta de piratería que aprovecha las vulnerabilidades en los sistemas operativos Android para obtener privilegios de root en dispositivos móviles comprometidos.

El índice de impacto global de amenazas de Check Point y su mapa de ThreatCloud funcionan con la inteligencia de ThreatCloud de Check Point, la red colaborativa más grande para combatir el ciberdelito que ofrece datos de amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 2.5 millones de sitios web y 500 millones de archivos a diario e identifica más de 250 millones de actividades de malware todos los días.

La lista completa de las 10 familias de malware más importantes de febrero se puede encontrar en el Blog de Check Point. Los recursos de prevención de amenazas de Check Point están disponibles en: http://www.checkpoint.com/threat-prevention-resources/index.html

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y amenazas dirigidas avanzadas. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un solo punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###