Los troyanos de acceso remoto ganan protagonismo entre los ciberdelincuentes

Check Point® Software Technologies Ltd., proveedor líder mundial de soluciones de ciberseguridad, ha publicado su último Índice Global de Amenazas de octubre, en el que muestra el liderazgo del cryptojacking y una importante novedad: un troyano de acceso remoto (RAT) ha alcanzado el Top 10 por primera vez.

Durante el mes de octubre, los investigadores de Check Point descubrieron una gran campaña de malware que difundía un troyano de acceso remoto (denominado “FlawedAmmy“) que permite a los ciberdelincuentes tomar el control de los ordenadores y robar los datos de las víctimas. En este sentido, el troyano permite obtener acceso total a la cámara y al micrófono del ordenador, recopilar capturas de pantalla, robar credenciales y archivos confidenciales, y monitorizar las acciones de las víctimas.

“Este mes, hemos visto a un RAT entrar en el top 10 por primera vez”, explica Maya Horowitz, Responsable del Grupo de Inteligencia de Amenazas de Check Point. “Hemos detectado varias campañas distribuyendo el RAT FlawedAmmyy en los últimos meses, la última fue la más grande en términos de impacto. No obstante, el cryptojacking sigue siendo la amenaza dominante, esto puede indicar que datos como las credenciales de inicio de sesión, los archivos confidenciales, la información bancaria y de pago no han perdido su atractivo lucrativo para los ciberdelincuentes”.

Mientras tanto, el cryptojacking continúa liderando el ranking nacional, con Coinhive con un impacto global del 26%, mientras que RoughTed ocupa el segundo lugar en la lista que afecta al 17% de las empresas.

Top 3 del malware en España durante el mes de octubre de 2018
(Las flechas indican el cambio respecto al mes anterior)
1. ↔ Coinhive – Cryptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha afectado al 26% de las empresas españolas.

2. ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado. El 17% de las compañías españolas han tenido que enfrentarse a este ataque.

3. ↔ XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware descubierto en mayo de 2017 ha atacado en octubre al 13% de las organizaciones españolas.

Top 3 del malware móvil mundial:
1. Lokibot: Troyano y ladrón de información de Android, también se puede convertir en un ransomware que bloquea el teléfono en caso de que se eliminen los derechos del administrador.

2. Triada: Backdoor modular para Android que otorga privilegios de superusuario al malware descargado, ayudándolo a integrarse en los procesos del sistema. También se ha detectado que falsifica URLs cargadas en el navegador.

3. Hiddad: Malware para Android, su función principal es mostrar anuncios, sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

Los investigadores de Check Point también han analizado las principales vulnerabilidades de octubre.

Top 3 vulnerabilidades:
1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): al enviar una solicitud a través de una red a Microsoft Windows Server 2003 R2 desde Microsoft Internet Information Services 6.0, un ciberdelincuente podría ejecutar de forma remota un código arbitrario o causar una denegación de servicio en el servidor de destino. Esto se debe, principalmente, a una vulnerabilidad de desbordamiento del búfer como resultado de una validación incorrecta de un encabezado largo en una solicitud HTTP.

2. ↑ Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346): existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.

3. ↑ Inyección de código Web servers PHPMyAdmin Misconfiguration: se ha informado de una vulnerabilidad de inyección de código en PHPMyAdmin debido a su mala configuración. El ciberdelincuente puede aprovechar esta vulnerabilidad enviando una solicitud HTTP especialmente diseñada al usuario.

La inteligencia ThreatCloud de Check Point es la mayor red de colaboración para luchar contra la ciberdelincuencia y proporciona datos sobre amenazas y tendencias de ataques desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para la detección de bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.