Qbot, el troyano bancario sigue liderando el top malware en Argentina

Check Point Research informa que a nivel mundial Glupteba regresó a la lista de los diez principales por primera vez desde julio de 2022. Qbot superó a Emotet  y en Argentina sigue siendo el malware más frecuente afectando al 16.67% de las organizaciones.

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, publicó su índice de amenazas globales de diciembre de 2022. El mes pasado, Glupteba Malware, una ambiciosa botnet troyana habilitada para blockchain, volvió a estar entre las diez primeras en la lista desde julio de 2022 ocupando el octavo lugar. Qbot, un troyano sofisticado que roba credenciales bancarias y pulsaciones de teclas, superó a Emotet como el malware más frecuente después de su regreso el mes pasado, afectando al 7 % de las organizaciones en todo el mundo y en Argentina afectando al 16.67%. Mientras tanto, el malware para Android Hiddad regresó y la educación siguió siendo la industria más afectada en todo el mundo.

Aunque Google logró causar una gran interrupción en las operaciones de Glupteba en diciembre de 2021, parece haber vuelto a la acción. Como variante de malware modular, Glupteba puede lograr varios objetivos en una computadora infectada. La botnet se usa a menudo como descargador y cuentagotas para otro malware. Esto significa que una infección de Glupteba podría provocar una infección de ransomware, una violación de datos u otros incidentes de seguridad. Glupteba también está diseñado para robar credenciales de usuario y cookies de sesión de máquinas infectadas. Estos datos de autenticación se pueden usar para obtener acceso a las cuentas en línea de un usuario u otros sistemas, lo que permite al atacante robar datos confidenciales o tomar otras medidas utilizando estas cuentas comprometidas. Finalmente, el malware se usa comúnmente para implementar funciones de criptominería en su objetivo, agotando los recursos de una computadora al usarlos para extraer bloques. Este malware modular en Argentina ocupa el 7 puesto en el ranking teniendo un impacto del 4.35%

En diciembre, Hiddad también se ubicó en la lista de los tres principales malware móviles por primera vez en 2022. Hiddad es un malware que distribuye anuncios y se dirige a dispositivos Android. Vuelve a empaquetar aplicaciones legítimas y luego las envía a una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.

“El tema abrumador de nuestra última investigación es cómo el malware a menudo se hace pasar por software legítimo para dar a los hackers acceso de puerta trasera a los dispositivos sin levantar sospechas. Por eso es importante actuar con la debida diligencia al descargar cualquier software y aplicación o al hacer clic en los enlaces, independientemente de lo genuinos que parezcan”. dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.

CPR también reveló que la “Web Server Exposed Git Repository Information Disclosure” fue la vulnerabilidad explotada más común, que afectó al 46 % de las organizaciones en todo el mundo, seguida de la “Web Servers Malicious URL Directory Traversal” con el 44 % de las organizaciones afectadas en todo el mundo. “Command Injection Over HTTP” es la tercera vulnerabilidad más utilizada, con un impacto global del 43%.

Los 3 malware más buscados en Argentina en diciembre:

1. Qbot: Qbot, también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias de los usuarios y las pulsaciones de teclas. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Su impacto a nivel local es del 16.67% 
2. Nanocore: NanoCore es un troyano de acceso remoto que se dirige a los usuarios del sistema operativo Windows y se observó por primera vez en estado salvaje en 2013. Todas las versiones de RAT contienen complementos y funcionalidades básicas, como captura de pantalla, minería de criptomonedas, control remoto del escritorio y robo de sesión de cámara web. Su incidencia  en el país es del  10.87%.
3. XMRig: XMRig es un software de minería de CPU de código abierto que se utiliza para extraer la criptomoneda Monero. Los actores de amenazas a menudo abusan de este software de código abierto integrándolo en su malware para realizar minería ilegal en los dispositivos de las víctimas.. Su impacto a nivel local es del 8.70%.

Los sectores más atacados a nivel mundial:

En el mes de diciembre los sectores más atacados fueron, Educación/Investigación, seguida por Gobierno/Militar y luego Salud.

• Educación/Investigación
• Gobierno/Militar
• Cuidado de la salud

Top 3 vulnerabilidades más explotadas en diciembre:

*Las flechas se relacionan con el cambio de rango en comparación con el mes anterior.

En diciembre, “Web Server Exposed Git Repository Information Disclosure” fue la vulnerabilidad explotada más común, que afectó al 46 % de las organizaciones en todo el mundo, seguida de “Web Servers Malicious URL Directory Traversal” con el 44 % de las organizaciones afectadas en todo el mundo. “Command Injection Over HTTP” es la tercera vulnerabilidad más utilizada, con un impacto global del 43%.

1. ↑ Web Server Exposed Git Repository Information Disclosure – Se informó de una vulnerabilidad de divulgación de información en Git Repository. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta.
2. ↓  Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente el URI para los patrones de recorrido del directorio. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
3. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Se informó de una vulnerabilidad de inyección de comando sobre HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.

Top 3 del malware móvil mundial en diciembre:

En diciembre, Anubis sigue siendo el malware móvil más frecuente, seguido de Hiddad y AlienBot.

1. Anubis: Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, adquirió funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), registrador de teclas y capacidad de grabación de audio, así como varias funciones de ransomware. Se detectó en cientos de aplicaciones diferentes disponibles en Google Store.
2. Hiddad: Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las envía a una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.
3. AlienBot: AlienBot es un troyano bancario para Android que se vende clandestinamente como Malware-as-a-Service (MaaS). Admite el registro de teclas, superposiciones dinámicas para el robo de credenciales, así como la recolección de SMS para eludir 2FA. Se proporcionan capacidades adicionales de control remoto utilizando un módulo TeamViewer.

El Índice de Impacto de Amenazas Globales de Check Point y su ThreatCloud Map funcionan con la inteligencia de ThreatCloud de Check Point. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, a través de redes, endpoints y móviles. La inteligencia se enriquece con motores basados ​​en IA y datos de investigación exclusivos de Check Point Research, el brazo de inteligencia e investigación de Check Point Software Technologies.

La lista completa de las diez principales familias de malware de diciembre se puede encontrar en el blog de Check Point.

 

---

 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas 

 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas y gobiernos de todo el mundo.  La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de 5ª generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Infinity se compone de cuatro pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente los entornos cloud; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva de la industria; Check Point Horizon, una suite de operaciones de seguridad que da prioridad a la prevención. Check Point Software protege a más de 100.000 organizaciones de todos los tamaños.

 

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.