El malware ladrón de credenciales Snake Keylogger entra en el Top 10 por primera vez

En el área del malware móvil AlienBot, un Malware-as-a-Service (MaaS) para dispositivos Android, ataca a aplicaciones financieras legítimas entra en el Top 3

 

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

 

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de julio. Los investigadores señalan que, aunque a nivel Trickbot sigue siendo el malware más extendido, Snake Keylogger, detectado por primera vez en noviembre de 2020, ha subido al segundo puesto tras realizar una intensa campaña de phishing.

Snake es un keylogger.NET modular y ladrón de credenciales. Su función principal es registrar las pulsaciones de los usuarios en ordenadores o dispositivos móviles y transmitir los datos recogidos a los ciberdelincuentes. En las últimas semanas, Snake ha crecido rápidamente a través de emails de phishing bajo diferentes temáticas en diferentes países y sectores empresariales.  

Las infecciones de Snake suponen una gran amenaza para la privacidad y la ciberseguridad de los usuarios, ya que este malware puede sustraer prácticamente todo tipo de información sensible, además de ser un keylogger especialmente evasivo y persistente. Actualmente existen foros clandestinos de hacking en los que se puede adquirir este Keylogger por precios que oscilan entre los 25 y los 500 dólares, dependiendo del nivel de servicio ofrecido.

Este tipo de ataque puede ser especialmente peligroso debido a que las propias víctimas tienden a utilizar la misma contraseña y nombre de usuario para diferentes cuentas, y una vez que una de las credenciales de inicio de sesión se vulnera, el ciberdelincuente obtiene acceso a todas las que tienen la misma clave. Para poder detenerlo, es esencial utilizar una opción exclusiva para cada uno de los diferentes perfiles. Para ello, se puede recurrir a un gestor de contraseñas que permita tanto gestionar como generar distintas combinaciones de acceso robustas para cada servicio en función de las pautas decididas.

«Siempre que sea posible, los usuarios deberían contar con tecnologías de autenticación multifactor (MFA) o de inicio de sesión único (SSO)», afirma Maya Horowitz, vicepresidenta de investigación de Check Point Software. «Además, cuando se trata de políticas de contraseñas, elegir una clave fuerte y única para cada servicio es el mejor consejo, ya que así, incluso si los ciberdelincuentes se hacen con una de tus credenciales, ésta no les dará inmediatamente acceso a múltiples portales y servicios. Los keyloggers, como Snake, se distribuyen a menudo a través de correos electrónicos de phishing, por lo que es esencial que los usuarios sepan estar atentos a las pequeñas discrepancias, como las faltas de ortografía en los enlaces y las direcciones de email, y sean educados para no hacer clic en enlaces sospechosos ni abrir archivos adjuntos desconocidos».

Asimismo, los expertos de la compañía advierten que “Revelación de información del servidor web Git», es la vulnerabilidad explotada más común – afectó al 45% de las empresas a nivel mundial-, seguida de «Ejecución de Código Remoto en encabezados HTTP” que impactó a más del 44%. “Ejecución de código en remoto de MVPower DVR»Dasan» se sitúa en tercer lugar, afectando al 42% de los negocios a nivel mundial. 

Los 3 malware más buscados en España en julio:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Trickbot – Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que sea un malware flexible y personalizable que puede ser distribuido como parte de campañas multipropósito. Ha afectado a un 6,54 % de las empresas españolas.
2. ↑ Formbook – Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 4,73% de las compañías en españolas.
3. ↑ Mespinoza – es un troyano ransomware descubierto por primera vez en 2019. Mespinoza encripta los archivos utilizando un cifrado asimétrico y luego chantajea al usuario. Ha atacado a un 4,59% de las organizaciones en España.

Top 3 vulnerabilidades más explotadas en julio

1. Revelación de información del servidor web Git – La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git.  permite compartir de forma involuntaria información de la cuenta.
2. Ejecución remota de código en encabezados HTTP (CVE-2020-13756) – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. El ciberdelincuente puede remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en remoto en el equipo infectado.
3. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante en remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router objetivo a través de una petición hecha a medida.

Top 3 del malware móvil mundial en julio

1. xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot – Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. Hiddad – es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

El Índice de Impacto Global de las Amenazas de Check Point Software y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point Software, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.

La lista completa de las 10 familias principales de malware en julio está disponible en el blog de Check Point Software. 

 

 

---

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point Software estén actualizados con las últimas soluciones de seguridad. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs. 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.

©2021 Check Point Software Technologies Ltd. Todos los derechos reservados