El malware para Android MaliBot, recientemente descubierto, está emergiendo como una de las amenazas más extendidas para los usuarios finales, según el último índice mensual de amenazas globales de Check Point Research. Ha surgido de la nada en las últimas semanas para convertirse en el tercer malware móvil más frecuente detrás de AlienBot y Anubis, y llena el vacío dejado por el desmantelamiento de FluBot en mayo.
MaliBot comenzó a llamar la atención en junio de 2022 y fue descubierto por investigadores de F5 Labs en el curso de su trabajo en FluBot. En ese momento, estaba dirigido principalmente a clientes de banca en línea en Italia y España, pero sus capacidades lo convierten en una amenaza relevante para los usuarios de Android en todo el mundo.
Según F5, se disfraza como una aplicación de minería de criptomonedas, pero en realidad roba información financiera, credenciales, billeteras criptográficas y datos personales. También es capaz de robar y eludir códigos de autenticación multifactor (MFA). Su infraestructura de mando y control (C2) se encuentra en Rusia y parece tener vínculos con los programas maliciosos Sality y Sova.
Se distribuye atrayendo a las víctimas a sitios web fraudulentos que las alientan a descargar el malware, o mediante smishing, presentando a las víctimas un código QR que conduce al APK del malware.
“Aunque siempre es bueno ver que las fuerzas del orden logran derribar grupos de delitos cibernéticos o programas maliciosos como FluBot, lamentablemente no pasó mucho tiempo antes de que un nuevo programa malicioso para dispositivos móviles tomara su lugar”, dijo Maya Horowitz, vicepresidenta de investigación de Check. Software de puntos.
“Los ciberdelincuentes son muy conscientes del papel central que juegan los dispositivos móviles en la vida de muchas personas y siempre están adaptando y mejorando sus tácticas para que coincidan. El panorama de amenazas está evolucionando rápidamente y el malware móvil es un peligro importante para la seguridad tanto personal como empresarial. Nunca ha sido más importante contar con una sólida solución de prevención de amenazas móviles”.
Mientras tanto, como era de esperar, Emotet retuvo el primer puesto como el malware general más frecuente que se encuentra en la naturaleza, aunque Snake Keylogger, un ladrón de información, continúa su ascenso meteórico, subiendo al tercer puesto después de haber ingresado en el gráfico mensual de Check Point en el puesto número ocho en junio.
Después de haber sido difundido inicialmente a través de archivos PDF contaminados, las campañas más recientes de Snake lo han visto llegar en documentos de Word disfrazados de solicitudes de cotizaciones.
Emotet también parece estar cambiando sus tácticas, con una nueva variante informada el mes pasado que apunta a los usuarios de Google Chrome y ahora incluye el robo de datos de tarjetas de crédito.
La cuenta regresiva completa de los 10 primeros para junio es la siguiente:
- Emotet: un troyano convertido en botnet que se utiliza como distribuidor de otras campañas de malware y ransomware.
- Formbook: un ladrón de información de malware como servicio (MaaS) dirigido a dispositivos Windows.
- Snake Keylogger: un ladrón de información particularmente evasivo y persistente que puede robar prácticamente todo tipo de información confidencial.
- Agente Tesla: un troyano de acceso remoto (RAT) avanzado que funciona como registrador de teclas y ladrón de información.
- XMRig: un software de minería de CPU de código abierto que se utiliza para extraer Monero.
- Remcos: otra RAT que se especializa en eludir la seguridad de Windows para ejecutar malware con privilegios elevados.
- Phorphix: otra red de bots conocida por impulsar otras familias de malware, así como campañas de spam y sextorsión.
- Ramnit: un troyano bancario modular que se especializa en el robo de credenciales para cuentas bancarias y de redes sociales.
- Glupteba: una puerta trasera convertida en botnet que incluye una capacidad integral de ladrón de navegadores y un explotador de enrutadores.
- NJRat: otra RAT utilizada por ciberdelincuentes y atacantes de estados nacionales por igual, que se sabe que se propaga a través de llaves USB o unidades en red infectadas.
Una vez más, la principal vulnerabilidad más explotada en junio de 2022 fue CVE-2021-44228 o Log4Shell, en Apache Log4j, que afecta al 43 % de las organizaciones de todo el mundo y cuya explotación no muestra signos de desaceleración. En segundo lugar, se encuentra una vulnerabilidad de divulgación de información reportada en Git Repository, y en tercer lugar, una serie de vulnerabilidades transversales de directorio URL en varios servidores web. Más datos sobre todos estos están disponibles en Check Point y se puede acceder aquí.
