Los investigadores de Check Point descubren que Dridex se ha actualizado y se ha propagado a través de múltiples campañas de spam para entregar ransomware dirigido, lo que aumenta el riesgo del troyano de larga data

Nuestro último Índice de Amenazas Globales para marzo de 2020 muestra que el conocido troyano bancario Dridex, que apareció por primera vez en 2011, ha entrado en la lista de los diez malware más buscados por primera vez, como el tercer malware más prevalente en marzo. Dridex se ha actualizado y ahora se utiliza en las primeras etapas del ataque para descargar ransomware dirigido, como BitPaymer y DoppelPaymer.

El fuerte aumento del uso de Dridex fue impulsado por varias campañas de spam que contienen un archivo malicioso de Excel que descarga el malware Dridex en el ordenador de la víctima. Este aumento del malware Dridex pone de manifiesto la rapidez con la que los ciberdelincuentes cambian los temas de sus ataques para intentar maximizar las tasas de infección.

Dridex es una sofisticada cepa de malware bancario que se dirige a la plataforma Windows, realizando campañas de spam para infectar los ordenadores y robar credenciales bancarias y otra información personal para facilitar la transferencia fraudulenta de dinero. El malware se ha actualizado y desarrollado sistemáticamente durante la última década. XMRig sigue ocupando el primer lugar en el índice de las principales familias de malware, afectando al 5% de las organizaciones en todo el mundo, seguido de Jsecoin y Dridex, que afectan al 4% y al 3% de las organizaciones en todo el mundo, respectivamente.

Dridex puede ser muy lucrativo para los delincuentes dada su sofisticación, y ahora se utiliza como descargador de ransomware, lo que lo hace aún más peligroso que las variantes anteriores. Los particulares deben desconfiar de los correos electrónicos con archivos adjuntos, aunque parezcan proceder de una fuente de confianza, especialmente con la explosión del trabajo desde casa en las últimas semanas. Las organizaciones deben educar a los empleados sobre cómo identificar el spam malicioso, y desplegar medidas de seguridad que ayuden a proteger a sus equipos y redes contra tales amenazas.

El informe de marzo también advierte que «MVPower DVR Remote Code Execution» sigue siendo la vulnerabilidad más comúnmente explotada, afectando al 30% de las organizaciones a nivel mundial, seguido de cerca por «PHP php-cgi Query String Parameter Code Execution» con un impacto global del 29%, seguido de «OpenSSL TLS DTLS Heartbeat Information Disclosure» que afecta al 27% de las organizaciones en todo el mundo.

Las principales familias de malware

*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

Este mes XMRig se mantiene en el primer lugar, impactando al 5% de las organizaciones a nivel mundial, seguido de Jsecoin y Dridex impactando al 4% y 3% de las organizaciones a nivel mundial respectivamente.

  1. ↔ XMRig – XMRig es un software de minería de CPU de código abierto utilizado para el proceso de minería de la criptomoneda Monero, visto por primera vez en la naturaleza en mayo de 2017.
  1. Jsecoin – Jsecoin es un criptominero basado en la web, diseñado para realizar la minería en línea de la criptomoneda Monero cuando un usuario visita una página web en particular. El JavaScript implantado utiliza una gran cantidad de recursos computacionales del usuario final para minar monedas, impactando así en el rendimiento del sistema.
  1. Dridex – Dridex es un troyano bancario que se dirige a la plataforma Windows, y se entrega mediante campañas de spam y kits de exploits, que se basan en WebInjects para interceptar y redirigir las credenciales bancarias a un servidor controlado por el atacante. Dridex contacta con un servidor remoto, envía información sobre el sistema infectado y también puede descargar y ejecutar módulos adicionales para el control remoto.
  2. ↔ Trickbot – Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que Trickbot sea un malware flexible y personalizable que puede ser distribuido como parte de campañas con múltiples propósitos.
  3. ↓ Emotet – Emotet es un troyano avanzado, autopropagable y modular. Emotet fue empleado en su día como troyano bancario, y recientemente se utiliza como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener la persistencia y técnicas de evasión para evitar su detección. Además, puede propagarse a través de correos electrónicos de phishing que contienen malware.
  4. ↔ Agent Tesla – Agent Tesla es una RAT avanzada, que funciona como un keylogger y un ladrón de contraseñas. Agent Tesla es capaz de monitorear y recolectar la entrada del teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y exfiltrar
    credenciales de una variedad de software instalado en la máquina de la víctima (incluyendo Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).
  5. Formbook – Formbook es un Info Stealer que cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las pulsaciones del teclado, y puede descargar y ejecutar archivos según sus órdenes C&C.
  6. ↓ Lokibot – Lokibot es un Info Stealer que se distribuye principalmente a través de correos electrónicos de phishing y se utiliza para robar diversos datos como credenciales de correo electrónico, así como contraseñas de carteras de criptomonedas y servidores FTP.
  7. ↓ Ramnit – Ramnit es un troyano bancario que roba credenciales bancarias, contraseñas FTP, cookies de sesión y datos personales.
  8. RigEK- RigEK ofrece exploits para Flash, Java, Silverlight e Internet Explorer. La cadena de infección comienza con una redirección a una página de aterrizaje que contiene JavaScript que comprueba los plug-ins vulnerables y entrega el exploit.

Vulnerabilidades más explotadas

Este mes la «Ejecución remota de código MVPower DVR» sigue siendo la vulnerabilidad más comúnmente explotada, impactando al 30% de las organizaciones a nivel mundial, seguida de cerca por la «Ejecución de código de cadenas de consulta PHP-cgi» con un impacto global del 29%. En tercer lugar, «OpenSSL TLS DTLS Heartbeat Information Disclosure» afecta al 27% de las organizaciones de todo el mundo.

  1. ↔ MVPower DVR Remote Code Execution – Una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una solicitud crafteada.
  2. PHP php-cgi Query String Parameter Code Execution – Una vulnerabilidad de ejecución remota de código que ha sido reportada en PHP. La vulnerabilidad se debe al análisis y filtrado inadecuado de las cadenas de consulta por parte de PHP. Un atacante remoto puede explotar este problema mediante el envío de peticiones HTTP manipuladas. Una explotación exitosa permite a un atacante ejecutar código arbitrario en el objetivo.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Una vulnerabilidad de divulgación de información que existe en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS heartbeat. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
  4. Servidor web expuesto Revelación de información del repositorio Git – Se ha informado de una vulnerabilidad de revelación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.
  5. ↓ Eludir la autenticación del router Dasan GPON (CVE-2018-10561) – Existe una vulnerabilidad de eludir la autenticación en los routers Dasan GPON. La explotación exitosa de esta vulnerabilidad permitiría a los atacantes remotos obtener información sensible y obtener acceso no autorizado en el sistema afectado.
  6. Ejecución remota de código del router HG532 de Huawei – Existe una vulnerabilidad de ejecución remota de código en los routers HG532 de Huawei. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una solicitud crafteada.
  7. D-Link DSL-2750B Remote Command Execution – Existe una vulnerabilidad de evasión de autenticación en el plugin portable-phpMyAdmin de WordPress. La explotación exitosa de esta vulnerabilidad permitiría a los atacantes remotos obtener información sensible y obtener acceso no autorizado en el sistema afectado.
  8. ↓PHP DIESCAN divulgación de información – Una vulnerabilidad de divulgación de información que se ha reportado en las páginas PHP. Una explotación exitosa podría conducir a la divulgación de información sensible del servidor.
  9. ↓SQL Injection (varias técnicas) – Inserción de una inyección de consulta SQL en la entrada del cliente a la aplicación, mientras se explota una vulnerabilidad de seguridad en el software de una aplicación.
  10. OpenSSL Padding Oracle Information Disclosure – Existe una vulnerabilidad de divulgación de información en la implementación AES-NI de OpenSSL. La vulnerabilidad se debe a un error de cálculo en la asignación de memoria durante una determinada comprobación de relleno. Un atacante remoto puede aprovechar esta vulnerabilidad para obtener información sensible en texto claro a través de un ataque de padding-oracle contra una sesión de AES CBC.

Las principales familias de malware – Móvil

Este mes xHelper conservó el primer lugar en el malware móvil más prevalente, seguido por AndroidBauts y Lotoor.

  1. xHelper – Una aplicación maliciosa vista en la naturaleza desde marzo de 2019, utilizada para descargar otras apps maliciosas y mostrar publicidad. La aplicación puede ocultarse del usuario y reinstalarse en caso de ser desinstalada.
  2. AndroidBauts – Adware dirigido a los usuarios de Android que exfiltra el IMEI, el IMSI, la ubicación GPS y otra información del dispositivo y permite la instalación de apps y accesos directos de terceros en los dispositivos móviles.
  1. Lotoor – Una herramienta de hacking que aprovecha las vulnerabilidades de los sistemas operativos Android para obtener privilegios de root en los dispositivos móviles comprometidos.

Articles

Deja una respuesta

Tu dirección de correo electrónico no será publicada.