El malware más buscado de mayo: el troyano bancario Ursnif se ubica en la lista de los 10 principales malware por primera vez, duplicando su impacto en las organizaciones

Los investigadores de Check Point encuentran un fuerte aumento en los ataques utilizando el troyano bancario Ursnif de larga duración capaz de robar correo electrónico y credenciales bancarias

Nuestro último Índice de Amenazas Globales para mayo de 2020 ha encontrado varias campañas de spam malicioso que distribuyen el troyano bancario Ursnif, lo que provocó que saltara 19 lugares al quinto lugar en la lista Top Malware, duplicando su impacto en las organizaciones de todo el mundo.

El troyano bancario Ursnif apunta a PC con Windows y es capaz de robar información financiera vital, credenciales de correo electrónico y otros datos confidenciales. El malware se entrega en campañas de spam malicioso a través de archivos adjuntos de Word o Excel. La nueva ola de ataques de troyanos Ursnif, que lo vio entrar por primera vez en el top 10 del índice Top Malware, coincide con informes sobre la desaparición de una de sus variantes populares, Dreambot. Dreambot se vio por primera vez en 2014 y se basa en el código fuente filtrado de Ursnif. Sin embargo, desde marzo de 2020, el servidor backend de Dreambot se ha caído y no se han visto nuevas muestras de Dreambot en la naturaleza.

Mientras tanto, el conocido troyano bancario Dridex, que entró en el top 10 de malware por primera vez en marzo, continuó teniendo un impacto significativo durante todo mayo, permaneciendo en el ^primer lugar por segundo mes consecutivo. Las familias de malware móvil más frecuentes también completamente cambiado en mayo, con el malware de Android que genera ingresos fraudulentos al hacer clic en anuncios móviles que dominan el índice móvil, lo que muestra cómo los delincuentes intentan monetizar los ataques contra dispositivos móviles.

Los investigadores de Check Point advierten que con los troyanos bancarios Dridex, Agent Tesla y Ursnif todos clasificados en el top 5 de malware en mayo, está claro que los ciberdelincuentes se están centrando en usar malware que les permita monetizar los datos y las credenciales de sus víctimas. Si bien los ataques relacionados con COVID-19 han caído, hemos visto

un aumento del 16% en los ataques cibernéticos en general en mayo en comparación con marzo y abril, por lo que las organizaciones deben permanecer vigilantes mediante el uso de ciertas herramientas y técnicas, especialmente con el cambio masivo al trabajo remoto, del cual los atacantes se están aprovechando.

Principales familias de malware

* Las flechas se relacionan con el cambio de rango en comparación con el mes anterior.

Este mes, Dridex sigue en primer lugar, impactando al 4% de las organizaciones a nivel mundial, seguido por el Agente Tesla y XMRig, ambos impactando al 3% de las organizaciones en todo el mundo.

1. ↔ Dridex : Dridex es un troyano que se dirige a la plataforma Windows y, según los informes, se descarga a través de un archivo adjunto de correo electrónico no deseado. Dridex contacta a un servidor remoto y envía información sobre el sistema infectado. También puede descargar y ejecutar módulos arbitrarios recibidos del servidor remoto.
2. ↑ Agent Tesla – Agent Tesla es un RAT avanzado que funciona como keylogger y ladrón de información, capaz de monitorear y recopilar la entrada del teclado de la víctima, el portapapeles del sistema, tomar capturas de pantalla y filtrar credenciales pertenecientes a una variedad de software instalado en la máquina de la víctima. (incluidos los clientes de correo electrónico Google Chrome, Mozilla Firefox y Microsoft Outlook).
3. ↓ XMRig : XMRig es un software de minería de CPU de código abierto utilizado para el proceso de minería de la criptomoneda Monero, y visto por primera vez en la naturaleza en mayo de 2017.
4. ↑ Formbook: Formbook es un ladrón de información que recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con sus órdenes de C&C.
5. ↑ Ursnif: Ursnif es un troyano que se dirige a la plataforma Windows y roba información y credenciales para cuentas bancarias y de correo electrónico. Además, descarga y ejecuta archivos en el sistema infectado.
6. ↑ Emotet – Emotet es un troyano avanzado, autopropagado y modular. Emotet solía emplearse como troyano bancario, y recientemente se utiliza como distribuidor de otro malware o campañas maliciosas. Utiliza múltiples métodos para mantener las técnicas de persistencia y evasión para evitar la detección. Además, se puede propagar a través de correos electrónicos no deseados de phishing que contienen archivos adjuntos o enlaces maliciosos.
7. ↓ Trickbot : Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que Trickbot sea un malware flexible y personalizable que se puede distribuir como parte de campañas multipropósito.
8. ↓ Ramnit: Ramnit es un troyano bancario que roba credenciales bancarias, contraseñas FTP, cookies de sesión y datos personales.
9. ^ Glupteba – Glupteba es una puerta trasera que gradualmente maduró en una botnet. Para 2019, incluía un mecanismo de actualización de direcciones de C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y un explorador de enrutadores.
10. ↑ Lokibot: Lokibot es un ladrón de información distribuido principalmente por correos electrónicos de phishing y se utiliza para robar diversos datos, como credenciales de correo electrónico, así como contraseñas para billeteras CryptoCoin y servidores FTP.

Principales vulnerabilidades explotadas

Este mes, la «Ejecución remota de código MVPower DVR» aún ocupa el ^primer lugar como la vulnerabilidad explotada más común, afectando al 45% de las organizaciones a nivel mundial. La segunda vulnerabilidad explotada más popular es «Divulgación de información de latidos de OpenSSL TLS DTLS», seguida de cerca por «Divulgación de información de repositorio expuesto de Git de servidor web» que afecta al 40% y al 39% de las organizaciones respectivamente.

1. ↔ Ejecución remota de código de MVPower DVR : una vulnerabilidad de ejecución remota de código que existe en los dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el enrutador afectado a través de una solicitud diseñada.
2. ^ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Una vulnerabilidad de divulgación de información que existe en OpenSSL. La vulnerabilidad se debe a un error al manejar los paquetes de latidos TLS / DTLS. Un atacante puede aprovechar esta vulnerabilidad para revelar el contenido de la memoria de un cliente o servidor conectado.
3. ↑ Divulgación de información del repositorio Git expuesto en el servidor web: se ha informado una vulnerabilidad de divulgación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta.
4. ↔ Derivación de autenticación del enrutador GPON de Dasan (CVE-2018-10561) : existe una vulnerabilidad de omisión de autenticación en los enrutadores GPON de Dasan. La explotación exitosa de esta vulnerabilidad permitiría a los atacantes remotos obtener información confidencial y obtener acceso no autorizado al sistema afectado.
5. ↑ Inyección de comando de Draytek Vigor (CVE-2020-8515): existe una vulnerabilidad de inyección de comando en Draytek Vigor. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.
6. ↑ Ejecución remota de código de tipo contenido de Apache Struts2: se ha informado una vulnerabilidad de divulgación de información en el repositorio de Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta
7. ↓ Divulgación de información de PHP DIESCAN: se ha informado una vulnerabilidad de divulgación de información en las páginas de PHP. La explotación exitosa podría conducir a la divulgación de información confidencial del servidor.
8. ↑ OpenSSL Padding Oracle Information Disclosure – Una vulnerabilidad de divulgación de información que existe en la implementación AES-NI de OpenSSL. La vulnerabilidad se debe al error de cálculo de la asignación de memoria durante una determinada comprobación de relleno. Un atacante remoto puede explotar esta vulnerabilidad para obtener información confidencial de texto claro a través de un ataque de relleno de oráculo contra una sesión AES CBC.
9. ↑ PHP php-cgi Query String Parameter Code Execution – Se ha informado una vulnerabilidad de ejecución remota de código en PHP. La vulnerabilidad se debe al análisis y filtrado incorrectos de las cadenas de consulta por PHP. Un atacante remoto puede explotar este problema enviando solicitudes HTTP creadas. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en el objetivo.
10. ↓ D-Link DSL-2750B Ejecución remota de comandos : se ha informado de una vulnerabilidad de ejecución remota de código en los enrutadores D-Link DSL-2750B. La explotación exitosa podría conducir a la ejecución de código arbitrario en el dispositivo vulnerable.

Principales familias de malware: dispositivos móviles

Este mes, las tres principales familias de malware cambiaron por completo, con PreAmo en el primer lugar como el malware móvil más frecuente, seguido de Necro e Hiddad.

1. PreAmo: PreAmo es un malware de Android que imita al usuario haciendo clic en los banners recuperados de tres agencias de publicidad: Presage, Admob y Mopub.
2. Necro – Necro es un troyano cuentagotas de Android. Puede descargar otro malware, mostrando anuncios intrusivos y robando dinero cobrando suscripciones pagas.
3. Hiddad : Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las lanza a una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo