El ladrón de información FormBook ha terminado un período de dominio de siete meses para el troyano convertido en botnet Emotet, convirtiéndose en el malware observado más extendido en agosto de 2022, según el último informe de Check Point. Índice de amenazas globales.
FormBook apunta a los sistemas Windows y existe desde hace seis años. Se vende como un producto de malware como servicio (MaaS) en foros de delincuentes cibernéticos, y es favorecido por su bajo costo y capacidades avanzadas de evasión.
Implementado en un sistema de destino, recopila credenciales de navegadores web, recopila capturas de pantalla, monitorea y registra pulsaciones de teclas, y es capaz de descargar y ejecutar archivos si se le pide que lo haga.
Al mismo tiempo, el índice de malware móvil experimentó un movimiento el mes pasado, con Joker, un malware basado en Android que roba mensajes SMS, listas de contactos e información del dispositivo, y registra a sus víctimas para servicios premium pagados, pasando del quinto al tercer puesto. amenaza ampliamente vista.
“Los cambios que vemos en el índice de este mes, desde que Emotet cayó del primer al quinto lugar, hasta que Joker se convirtió en el tercer malware móvil más frecuente, refleja cuán rápido puede cambiar el panorama de amenazas”, dijo Maya Horowitz, vicepresidente de Check Point. presidente de investigación.
“Esto debería ser un recordatorio tanto para las personas como para las empresas de la importancia de mantenerse al día con las amenazas más recientes, ya que saber cómo protegerse es esencial. Los actores de amenazas están en constante evolución y la aparición de FormBook muestra que nunca podemos ser complacientes con la seguridad y debemos adoptar un enfoque holístico de prevención primero en todas las redes, puntos finales y la nube”.
Los otros malwares más extendidos observados en agosto fueron el troyano de acceso remoto (RAT) Agent Tesla, que subió del séptimo al segundo lugar en comparación con julio; mientras que XMRig, un criptominero de código abierto, se mantuvo firme en la tercera posición.
El resto de los 10 malwares más vistos en agosto fueron los siguientes:
- Guloader, un descargador de varios troyanos de acceso remoto (RAT) y ladrones de información, incluidos FormBook y Agent Tesla;
- Emotete;
- NJRat otra RAT que apunta principalmente a agencias y organizaciones gubernamentales en el Medio Oriente;
- Remcos, un RAT distribuido a través de archivos adjuntos maliciosos de Microsoft Office y diseñado inteligentemente para eludir la seguridad UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel;
- SnakeKeylogger, un keylogger .net modular visto por primera vez en 2020;
- Ramnit, un troyano bancario modular visto por primera vez en 2020, capaz de robar credenciales de cuenta para todos los servicios utilizados por sus víctimas;
- Y Phorphiex, una red de bots de larga data que distribuye otros programas maliciosos y es una fuerza impulsora detrás de múltiples campañas generalizadas de spam y sextorsión.
Los tres principales malware móviles observados durante el período fueron:
- AlienBot, un troyano bancario para Android que se vende en línea como MaaS, que admite el registro de teclas, el robo de credenciales y la recolección de SMS de tokens de autenticación multifactor (MFA).
- Anubis, otro troyano bancario al que se le han agregado otras funciones con el tiempo, incluida la funcionalidad RAT, el registro de teclas y las capacidades de grabación de audio, y se puede encontrar en cientos de aplicaciones diferentes que acechan en Google Store;
- Y el spyware Joker antes mencionado.
Check Point compartió nuevos conocimientos sobre algunas de las vulnerabilidades más explotadas observadas en la naturaleza el mes pasado, con CVE-2021-44228, o Log4Shell para el profano, sigue siendo la vulnerabilidad más comúnmente observada, que afecta al 44% de las organizaciones a nivel mundial.
Reportado por primera vez a fines de 2021, Log4Shell, que afecta a Apache Log4j, un componente de miles de compilaciones de software, y se ha descrito como una “falla de diseño de proporciones catastróficas”.
También se observó ampliamente en agosto una vulnerabilidad de divulgación de información informada en el Repositorio Git, cuya explotación exitosa podría permitir la divulgación no intencional de información de cuenta, y una serie de vulnerabilidades transversales de directorio en diferentes servidores web, algunas de ellas que datan de 2010, que colectivamente permiten actores no autenticados para divulgar o acceder a archivos arbitrarios en un servidor vulnerable.
Es importante tener en cuenta que los datos recopilados por las empresas de seguridad cibernética para los informes programados generalmente se extraen de fuentes propietarias y telemetría de red. No necesariamente presenta una imagen verdadera o completa del panorama de amenazas, y debe leerse junto con muchas otras fuentes.
