Snake Keylogger vuelve al Top Ten tras una larga ausencia

¿El ecommerce le ganó a la tienda física?: la verdad de la industria en la nueva normalidad
13 junio, 2022

Check Point Research informa que mientras Emotet sigue siendo el malware número uno, Snake Keylogger vuelve al índice en el octavo lugar tras meses fuera del ranking

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, publicó su Índice Global de Amenazas del mes de mayo de 2022. Los investigadores informan que Emotet, un troyano avanzado, auto propagable y modular, sigue siendo el más prevalente como resultado de múltiples campañas generalizadas. Sin embargo, este mes, Snake Keylogger saltó al octavo puesto tras una larga ausencia en el índice. La principal funcionalidad de Snake es registrar las pulsaciones de los usuarios y transmitir los datos recogidos a los ciberdelincuentes.

Snake Keylogger suele propagarse a través de emails que incluyen archivos adjuntos docx o xlsx con macros maliciosas, sin embargo, este mes los investigadores informaron que Snake Keylogger también se propagó a través de archivos PDF. Esto podría deberse en parte a que Microsoft bloquea por defecto las macros de Internet en Office, lo que significa que los ciberdelincuentes tuvieron que ser más creativos, explorando nuevos tipos de documentos. Esta rara forma de propagar el malware está resultando bastante eficaz, ya que algunas personas perciben los PDF como intrínsecamente más seguros que otros archivos.

Emotet, está afectando al 8% de las organizaciones de todo el mundo, un ligero aumento con respecto al mes pasado. Este malware es tan ágil que resulta rentable gracias a su capacidad para pasar desapercibido. Su persistencia también hace que sea difícil de eliminar una vez que un dispositivo se infectó, lo que lo convierte en la herramienta perfecta en el arsenal de un ciberdelincuente. Originalmente un troyano bancario, suele distribuirse a través de correos electrónicos de phishing y tiene la capacidad de incorporar otros malwares, lo que aumenta su habilidad para causar daños generalizados.

“Como se ha puesto de manifiesto con las recientes campañas de Snake Keylogger, abrir cualquier archivo en Internet supone un riesgo de ciberataque, y los documentos PDF no son la excepción como algunos pueden creer”, afirma Alejandro Botter, gerente de ingenieria del sur de latinoamérica de Check Point. “Un código malicioso puede estar en lugares como el contenido multimedia y enlaces, listo para ser ejecutado. En el caso de Snake Keylogger, infecta el dispositivo al momento que el usuario abre el archivo. Por lo tanto, al igual que se cuestiona la legitimidad de un archivo docx o xlsx adjunto en un email, se debe tener la misma precaución con los PDF. En el panorama actual, es muy importante que las empresas no confíen en la protección básica del correo electrónico y cuenten con una solución de seguridad sólida, en especial con capacidad de sandboxing, que simula la ejecución del archivo en un ambiente controlado y pone en cuarentena adjuntos infectados, impidiendo desde un principio que cualquier documento con malware conocido o nuevo entre en la red”, concluye Alejandro Botter.

“Servidores web URL maliciosos Directory Traversal” fue la vulnerabilidad más explotada y común – afectó al 46% de las empresas de todo el mundo-, seguida muy de cerca por “Apache Log4j Remote Code Execution” que impactó en el 46% de las compañías a nivel mundial. “La revelación de información del servidor web Git» se sitúa en el tercer lugar del índice llegando a un 45% de las organizaciones. En abril el sector de la Educación/Investigación fueron los más atacado a nivel mundial.

Los 3 malware más buscados en Argentina en mayo:

  1. Formbook – Detectado por primera vez en 2016, FormBook es de la categoría de robo de información (InfoStealer) que apunta al sistema operativo Windows. Se comercializa como malware como servicio (MaaS) en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook roba credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Este Stealer atacó al 10% de las empresas en nuestro país. 
  2. WBNA– El gusano WBNA se replica a sí mismo de una computadora a otra y, para propagarse, se ejecuta como un proceso en segundo plano transparente, eludiendo la detección del software de seguridad. Este malware descarga elementos dañinos utilizando trucos maliciosos. WBNA abre cortafuegos, recopila información personal y la envía a hackers remotos. En Argentina afecta al 4,29% de las organizaciones.
  3. PykspaGusano que se propaga enviando mensajes instantáneos a contactos en Skype. Extrae información personal del usuario de la máquina y se comunica con servidores remotos mediante algoritmos de generación de dominio (DGA). En nuestro país afecta al 3,57% de las empresas.

Los sectores más atacados a nivel mundial:

La información del Threat Intelligence de Check Point indica que en los últimos 6 meses de 2022, Educación/Investigación es la industria más atacada a nivel mundial, seguida de las Gobierno/Militar y ISP/MSP.

  • Educación/Investigación
  • Gobierno/Militar
  • ISP/MSP

En la misma línea a nivel Argentina y latinoamérica, la industria más atacada es la de Gobierno/Militar.

Top 3 vulnerabilidades más explotadas en mayo:

  1. Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente el URI para los patrones de recorrido de directorios. Una explotación exitosa le permite a los atacantes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
  2. ↔ Ejecución remota de código en Apache Log4j (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j que, si se explota de forma favorable, podría admitir un atacante remoto ejecutar código arbitrario en el sistema afectado.
  3. Filtración de información del repositorio Git–La vulnerabilidad en la exposición de información en el repositorio Git está reportada. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta. 

Top 3 del malware móvil mundial en mayo:

  1. AlienBot Esta familia es un malware como servicio (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
  2. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing (también conocido como smishing), la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.
  3. xHelper Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

La lista completa de las 10 familias principales de malware en mayo está disponible en el blog de Check Point Software. 

 


 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs. 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.

 

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.

×