El mes pasado, los investigadores de seguridad descubrieron una nueva campaña de malware del famoso troyano Emotet. Como se informó a principios de este año, desde que Microsoft anunció que bloquearía las macros en los archivos de Office, los atacantes de Emotet han estado buscando formas alternativas de propagar archivos maliciosos.
En la campaña más reciente, los atacantes han elegido una nueva estrategia: envían correos electrónicos no deseados que contienen un archivo malicioso de OneNote. Una vez abierto, aparece un mensaje falso que engaña a la víctima para que haga clic en el documento y, por lo tanto, descarga la infección de Emotet. Una vez instalado, el malware puede recopilar credenciales de usuario de correo electrónico, como credenciales de inicio de sesión e información de contacto. Luego, los atacantes utilizan la información recopilada para ampliar el alcance de la campaña y facilitar futuros ataques.
saltó las medidas de seguridad
Maya Horowitz, vicepresidenta de investigación de Check Point Software, sobre el último Índice de amenazas globales: "Aunque las grandes empresas de tecnología hacen todo lo posible para acabar con los ciberdelincuentes lo antes posible, es casi imposible prevenir cada ataque que no supera las medidas de seguridad". Sabemos que Emotet es un troyano sofisticado y no sorprende que haya logrado eludir las nuevas defensas de Microsoft. Lo más importante que la gente puede hacer es garantizar la seguridad adecuada del correo electrónico, evitar la descarga de archivos inesperados y ser muy escéptico sobre el origen de un correo electrónico y su contenido”.
Top 3 de malware en Alemania:
Las flechas se refieren al cambio en la clasificación en comparación con el mes anterior.
- ↔ qbot – Qbot, también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008. Está diseñado para robar la información bancaria y las pulsaciones de teclas de un usuario. Distribuido comúnmente a través de correos electrónicos no deseados, Qbot utiliza múltiples técnicas anti-VM, anti-depuración y anti-sandbox para complicar el análisis y evadir la detección.
- ↑ Guloader – Guloader es un descargador que se ha utilizado ampliamente desde diciembre de 2019. Cuando apareció por primera vez, Guloader se usaba para descargar Parallax RAT, pero también otros troyanos de acceso remoto y ladrones de información, como Netwire, Formbook y Agent Tesla.
- ↑ Emotet – Emotet es un caballo de Troya avanzado, autopropagante y modular que alguna vez se usó como un troyano bancario y actualmente propaga otro malware o campañas maliciosas. Emotet utiliza múltiples métodos de persistencia y técnicas de evasión para evitar la detección y puede distribuirse a través de correos electrónicos no deseados de phishing con archivos adjuntos o enlaces maliciosos.
Las 3 principales vulnerabilidades:
En marzo, Apache Log4j Remote Code Execution fue la principal vulnerabilidad explotada y afectó al 44 % de las organizaciones en todo el mundo, seguida de cerca por HTTP Headers Remote Code Execution con una participación del 43 %. MVPower DVR Remote Code Execution ocupa el tercer lugar con un impacto global del 40 por ciento.
- ↑ Ejecución remota de código de Apache Log4j (CVE-2021-44228): existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado.
- ↑ Ejecución remota de código de encabezados HTTP (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756): los encabezados HTTP permiten que el cliente y el servidor pasen información adicional con una solicitud HTTP. Un atacante puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina de la víctima.
- ↑ Ejecución de código remoto MVPower DVR - Existe vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante puede explotar esta vulnerabilidad para ejecutar código arbitrario en el enrutador afectado a través de una solicitud manipulada.
Los 3 principales programas maliciosos para dispositivos móviles:
Durante el último mes, AhMynth fue el malware Hadny más frecuente, seguido de Anubis e Hiddad.
- ↑ AhMito – AhMyth es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se encuentran en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como registro de teclas, capturas de pantalla, envío de mensajes SMS y activación de la cámara.
- ↓ Anubis – Anubis es un troyano bancario desarrollado para teléfonos Android. Desde su detección inicial, ha adquirido características adicionales que incluyen troyano de acceso remoto (RAT), capacidades de registro de teclas y grabación de audio, y varias funciones de ransomware. Se ha visto en cientos de aplicaciones diferentes en Google Store.
- ↓ Hiddad - Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las publica en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede acceder a importantes detalles de seguridad del sistema operativo.
Industrias atacadas:
- ↑ venta al por mayor al por menorel (minorista/mayorista
- ↓ Educación/Investigación (educación/investigación)
- ↔ Sanidad (Cuidado de la salud)
El Índice de Impacto de Amenazas Globales y el Mapa de ThreatCloud de Check Point funcionan con ThreatCloudIntelligence de Check Point. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo a través de redes, terminales y teléfonos móviles. Esta inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, el departamento de investigación y desarrollo de Check Point Software Technologies.
Más en Checkpoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.