INTERNET

LOS MALWERES NO DUERMEN

El troyano bancario IcedID penetró en el 11% de las empresas a nivel mundial

El malware, aprovechando la pandemia, ocupa el segundo puesto tras el demoledor Dridex. La mayoría de los tentadores adjuntos mostrados eran documentos de Microsoft Word con una macro maliciosa utilizada para insertar un programa de instalación. Una vez implantado, tomaba datos de las cuentas, credenciales de pago y otra información sensible de los ordenadores. El argumento de ingreso estaba apoyado en campañas contra el Covid-19.

Concluido el tercer mes del año, una empresa especializada en seguridad tecnológica, detectó que el troyano bancario IcedID se ubicó en el segundo lugar en riesgos mientras que el conocido Dridex fue el malware más prevalente desde su séptimo puesto en febrero.

Check Point Research señaló que IcedID apareció en 2017 y se propagó rápidamente en marzo a través de varias campañas de spam, afectando al 11% de las empresas a nivel mundial. Una de las campañas más extendidas utilizaba el tema de COVID-19 para atraer a nuevas víctimas.

La mayoría de los tentadores adjuntos eran documentos de Microsoft Word con una macro maliciosa utilizada para insertar un programa de instalación de IcedID. Una vez implantado, tomaba datos de las cuentas, credenciales de pago y otra información sensible de los ordenadores.

"IcedID existe desde hace unos años, pero se generalizó hace poco, lo que demuestra que los ciberdelincuentes adaptan sus técnicas para explotar compañías, utilizando la pandemia como excusa", explica Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point.

"IcedID es un troyano particularmente evasivo que utiliza diversas técnicas para robar datos financieros, por lo que las empresas deben asegurarse de tener sistemas robustos para evitar que sus redes se vean comprometidas y minimizar los riesgos".  advierte Horowitz.

Los expertos de la compañía indican que las "ejecuciones de Código Remoto en encabezados HTTP (CVE-2020-13756)”son la vulnerabilidad explotada más común- afectó al 45% de las compañías en todo el mundo-, seguida de "Dasan "MVPower DVR Remote Code Execution", que impactó a más del 44%. "Dasan GPON Router Authentication Bypass" ocupa el tercer lugar en la lista, afectando al 44% de las empresas a nivel mundial.

Por otra parte exponen los 3 malwares más buscados en Argentina durante el mes concluido :

↑ IcedID -  troyano bancario que apareció por primera vez en septiembre de 2017. Suele utilizar otros troyanos bancarios conocidos para propagarse, como Emotet, Ursnif y Trickbot. IcedID roba los datos financieros de los usuarios a través de ataques de redirección (instala un proxy local para redirigir a los usuarios a sitios falsos) y realiza ataques de inyección web (inyecta un proceso del navegador para presentar contenido falso superpuesto a la página original).

↑ Lokibot - Identificado por primera vez en febrero de 2016, LokiBot es un infostealer con versiones para el sistema operativo Windows y Android. Recopila credenciales de una variedad de aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración de TI como PuTTY y más. LokiBot se vende en foros de piratería y se cree que su código fuente se filtró, lo que permite que aparezcan numerosas variantes. Desde finales de 2017, algunas versiones de Android de LokiBot incluyen la funcionalidad de ransomware además de sus capacidades de robo de información.

↑QBot –también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008, diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. 

También muestran las Top 3 vulnerabilidades más explotadas:

1 Inyección de comandos sobre HTTP - un atacante en remoto puede explotar una vulnerabilidad de inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría al atacante ejecutar código arbitrario en el equipo del usuario.

2 Ejecución de código en remoto de MVPower DVR – se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.

3 Bypass de autentificación del router Dasan GPON – una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder sin autorización al sistema afectado en remoto.

Por último los Top 3 del malware móvil mundial resultan

Hiddad – es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.

FurBall - es un MRAT (troyano de acceso remoto móvil) para Android que es desplegado por APT-C-50, un grupo APT iraní conectado con el Gobierno del país. Este malware fue utilizado en múltiples campañas que comenzaron en 2017, y sigue activo en la actualidad. Las capacidades de FurBall incluyen el robo de mensajes SMS, registros de llamadas, grabación de sonido y llamadas, recopilación de archivos multimedia, seguimiento de la ubicación de los usuarios, entre otras.

La empresa explica que el Índice de Impacto Global de las Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas.

La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.
 

Dejá tu comentario