La campaña de Qbot, que tuvo lugar el mes pasado, utiliza un nuevo método de entrega en el que se envía un correo electrónico a las personas objetivo junto con un archivo adjunto que contiene archivos PDF protegidos.
Una vez descargados, el malware Qbot se instalará en el dispositivo. Los investigadores descubrieron que el malspam se enviaba en varios idiomas, lo que significa que las organizaciones podían ser atacadas en todo el mundo. Mirai, uno de los malware IoT más populares, también regresó el mes pasado. Los investigadores descubrieron que Mirai explota una nueva vulnerabilidad de día cero (CVE-2023-1380) para atacar los enrutadores TP-Link y agregarlos a su botnet, que se ha utilizado en algunos de los ataques DDoS más ampliamente distribuidos de todos los tiempos. Esta última campaña sigue a un informe completo de Check Point Research (CPR) sobre la proliferación de ataques IOT.
Dirigirse a proveedores de servicios de software
También hubo un cambio en los sectores afectados por los ciberataques en Alemania: no en el primer lugar, porque el comercio minorista y mayorista sigue siendo el área más atacada. Sin embargo, los ISP/MSP (proveedores de servicios de software) subieron al segundo lugar, mientras que el cuidado de la salud cayó al tercer sector más atacado en abril. Los ataques a las instalaciones de atención médica están bien documentados y algunos países continúan enfrentando ataques constantes. La industria sigue siendo un objetivo lucrativo para los piratas informáticos, ya que potencialmente les brinda acceso a información confidencial de pacientes y pagos. Esto podría afectar a las compañías farmacéuticas, ya que podría provocar filtraciones en los ensayos clínicos o en nuevos medicamentos y dispositivos.
“Los ciberdelincuentes están constantemente trabajando en nuevas formas de eludir las restricciones, y estas campañas son una prueba más de cómo el malware se adapta para sobrevivir. La renovada campaña de Qbot nos recuerda la importancia de contar con una ciberseguridad integral y la debida diligencia para evaluar el origen y la intención de un correo electrónico", dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.
Top malware en Alemania
*Las flechas se refieren al cambio de ranking respecto al mes anterior.
1. ↔ Qbot: Qbot, también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008. Está diseñado para robar la información bancaria y las pulsaciones de teclas de un usuario. Distribuido comúnmente a través de correos electrónicos no deseados, Qbot utiliza múltiples técnicas anti-VM, anti-depuración y anti-sandbox para complicar el análisis y evadir la detección.
2. ↑ NanoCore: NanoCore es un troyano de acceso remoto dirigido a usuarios de sistemas operativos Windows y se observó por primera vez en estado salvaje en 2013. Todas las versiones de RAT incluyen complementos y funciones básicos, como grabación de pantalla, minería de criptomonedas, control de escritorio remoto y robo de sesiones de cámara web.
3. ↑ AgentTesla – AgentTesla es una RAT sofisticada que actúa como registrador de teclas y ladrón de contraseñas y ha estado activo desde 2014. AgentTesla puede monitorear y recopilar las pulsaciones de teclas y el portapapeles de la víctima, capturar capturas de pantalla y extraer credenciales para una variedad de software instalado en la computadora de la víctima (incluidos Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). AgentTesla se vende en varios mercados en línea y foros de piratería.
Las 3 principales vulnerabilidades
Durante el mes pasado, Web Servers Malicious URL Directory Traversal fue la vulnerabilidad más explotada y afectó al 48 % de las organizaciones en todo el mundo, seguida de Apache Log4j Remote Code Execution con un 44 % y HTTP Headers Remote Code Execution con un 43 % de impacto global.
↑ Servidores web URL maliciosas de cruce de directorios: existe una vulnerabilidad de cruce de directorios en varios servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta adecuadamente el URI para los patrones transversales de directorio. La explotación exitosa permite a los atacantes no autenticados exponer o acceder a archivos arbitrarios en el servidor vulnerable.
↓ Ejecución remota de código Apache Log4j (CVE-2021-44228): existe una vulnerabilidad en Apache Log4j que permite la ejecución remota de código. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado.
↓ Ejecución remota de código de encabezados HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756): los encabezados HTTP permiten que el cliente y el servidor incluyan información adicional con una solicitud HTTP para transmitir. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina de la víctima.
Los 3 principales programas maliciosos para dispositivos móviles
En el último mes, Ahmyth fue el malware móvil más frecuente, seguido de Anubis e Hiddad.
1. ↔ AhMyth: AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se encuentran en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como registro de teclas, capturas de pantalla, envío de mensajes SMS y activación de la cámara.
↔ Anubis: Anubis es un troyano bancario desarrollado para teléfonos Android. Desde su detección inicial, ha adquirido características adicionales que incluyen troyano de acceso remoto (RAT), capacidades de registro de teclas y grabación de audio, y varias funciones de ransomware. Se ha visto en cientos de aplicaciones diferentes en Google Store.
↔ Hiddad: Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las publica en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede acceder a importantes detalles de seguridad del sistema operativo.
¿Tienes un momento?
Tómese unos minutos para nuestra encuesta de usuarios de 2023 y ayude a mejorar B2B-CYBER-SECURITY.de!Solo tiene que responder 10 preguntas y tiene la oportunidad inmediata de ganar premios de Kaspersky, ESET y Bitdefender.
Aquí vas directo a la encuesta
Industrias atacadas en Alemania
1. ↔ Minorista/Mayorista (Minorista/Mayorista)
2. ↑ Proveedor de servicios de TI/Proveedor de servicios gestionados (ISP/MSP)
3. ↓ Educación/Investigación
El Índice de Impacto de Amenazas Globales de Check Point y el Mapa de ThreatCloud funcionan con ThreatCloud Intelligence de Check Point. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo a través de redes, terminales y teléfonos móviles. Esta inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, el departamento de investigación y desarrollo de Check Point Software Technologies.
Más en Checkpoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.