Los troyanos de acceso remoto ganan protagonismo entre los ciberdelincuentes
En octubre el cryptojacking sigue liderando la clasificación y los troyanos de acceso remoto han alcanzado el Top 10.
Check Point Software Technologies, proveedor líder mundial de soluciones de ciberseguridad, ha publicado su último Índice Global de Amenazas de octubre, en el que muestra el liderazgo del cryptojacking y una importante novedad: un troyano de acceso remoto (RAT) ha alcanzado el Top 10 por primera vez.
Durante el mes de octubre, los investigadores de Check Point descubrieron una gran campaña de malware que difundía un troyano de acceso remoto (denominado "FlawedAmmy") que permite a los ciberdelincuentes tomar el control de los ordenadores y robar los datos de las víctimas. En este sentido, el troyano permite obtener acceso total a la cámara y al micrófono del ordenador, recopilar capturas de pantalla, robar credenciales y archivos confidenciales, y monitorizar las acciones de las víctimas.
"Este mes, hemos visto a un RAT entrar en el top 10 por primera vez", explica Maya Horowitz, Responsable del Grupo de Inteligencia de Amenazas de Check Point. “Hemos detectado varias campañas distribuyendo el RAT FlawedAmmyy en los últimos meses, la última fue la más grande en términos de impacto. No obstante, el cryptojacking sigue siendo la amenaza dominante, esto puede indicar que datos como las credenciales de inicio de sesión, los archivos confidenciales, la información bancaria y de pago no han perdido su atractivo lucrativo para los ciberdelincuentes".
Mientras tanto, el cryptojacking continúa liderando el ranking nacional, con Coinhive con un impacto global del 26%, mientras que RoughTed ocupa el segundo lugar en la lista que afecta al 17% de las empresas.
Top 3 del malware en España durante el mes de octubre de 2018
(Las flechas indican el cambio respecto al mes anterior)
1. ↔ Coinhive – Cryptojacker diseñado para minar la criptomoneda Monero. Se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha afectado al 26% de las empresas españolas.
2. ↔ RoughTed – Malvertising a gran escala utilizado para lanzar varias websites maliciosas y poner en marcha estafas, adware, exploit kits y ransomware. También se usa para atacar cualquier tipo de plataforma y sistema operativo, y aprovecha los bloqueadores de anuncios y los sensores de huella digital para enviar el ataque más adecuado. El 17% de las compañías españolas han tenido que enfrentarse a este ataque.
3. ↔ XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware descubierto en mayo de 2017 ha atacado en octubre al 13% de las organizaciones españolas.
Top 3 del malware móvil mundial
1. Lokibot: Troyano y ladrón de información de Android, también se puede convertir en un ransomware que bloquea el teléfono en caso de que se eliminen los derechos del administrador.
2. Triada: Backdoor modular para Android que otorga privilegios de superusuario al malware descargado, ayudándolo a integrarse en los procesos del sistema. También se ha detectado que falsifica URLs cargadas en el navegador.
3. Hiddad: Malware para Android, su función principal es mostrar anuncios, sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
Los investigadores de Check Point también han analizado las principales vulnerabilidades de octubre.
Top 3 vulnerabilidades
1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): al enviar una solicitud a través de una red a Microsoft Windows Server 2003 R2 desde Microsoft Internet Information Services 6.0, un ciberdelincuente podría ejecutar de forma remota un código arbitrario o causar una denegación de servicio en el servidor de destino. Esto se debe, principalmente, a una vulnerabilidad de desbordamiento del búfer como resultado de una validación incorrecta de un encabezado largo en una solicitud HTTP.
2. ↑ Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346): existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
3. ↑ Inyección de código Web servers PHPMyAdmin Misconfiguration: se ha informado de una vulnerabilidad de inyección de código en PHPMyAdmin debido a su mala configuración. El ciberdelincuente puede aprovechar esta vulnerabilidad enviando una solicitud HTTP especialmente diseñada al usuario.