El malware más buscado en diciembre

Downloader se cuela en el top 10 por primera vez.

Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su último Índice Global de Amenazas de diciembre de 2018, que revela el crecimiento de SmokeLoader. Este downloader de segunda generación que los investigadores descubrieron en 2011, ha crecido hasta situarse entre las 10 principales amenazas y ha multiplicado por 20 su impacto mundial en el último año. Se usa principalmente como medio para cargar otros malwares como Trickbot Banker, AZORult Infostealer y Panda Banker.

Además, los investigadores de Check Point señalan cómo el cryptojacking continúa al frente de la clasificación. En este sentido, CoinHive afianza su posición de liderazgo por decimotercer mes consecutivo con un impacto del 12% en organizaciones de todo el mundo. Asimismo, XMRig fue el segundo malware más predominante con un alcance a nivel mundial del 8%, seguido de cerca por JSEcoin, en tercera posición, con un impacto del 7%.

El informe también muestra una tendencia alcista de los troyanos bancarios, liderado por Rammit, un malware que roba credenciales bancarias y otros datos sensibles, y que vuelve a colocarse dentro de las 10 principales ciberamenazas.

“El informe de diciembre muestra el crecimiento de SmokeLoader, que se cuela por primera vez dentro del top 10 mundial. Su repentino aumento refuerza la creciente tendencia hacia el malware dañino y multiuso en el Índice Global de Amenazas, ya que las 10 primeras posiciones se reparten por igual entre el cryptojacking y el malware que utiliza múltiples métodos para distribuir numerosas amenazas”, señala Maya Horowitz, responsable del Grupo de Inteligencia de Amenazas en Check Point. “Además, la diversidad del malware recogida en el Índice, pone de manifiesto que las empresas necesitan contar con una estrategia de ciberseguridad de múltiples capas que sirvan de protección tanto para las familias de malware establecidas como para las nuevas amenazas", añade.

Los 3 malware más buscados en España en diciembre
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1.    ↔ CoinHive - Cryptojacker diseñado para minar la criptomoneda Monero, se activa cuando un usuario visita una página web. El JavaScript implantado utiliza muchos de los recursos del ordenador de la víctima para generar monedas, lo que impacta en el rendimiento del sistema. Ha atacado a un 18,8% de las empresas españolas.

2.    ↑ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 14,10% de las empresas en España.

3.    ↑ DarkGate – Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha atacado al 13,35% de las empresas españolas, provoca problemas de desempeño e incapacidad para ejecutar ciertos servicios o aplicaciones.

Top 3 del malware móvil mundial en diciembre

1.    Triada – Backdoor modular para Android. Este malware confiere privilegios de superusuario para descargar malware, al mismo tiempo que ayuda a integrarse en los procesos del sistema. Asimismo, Triada también tiene la capacidad de falsificar URLs cargadas en el navegador.

2.    Guerilla - Android ad-clicker que tiene la capacidad de comunicarse con un servidor de comando y control remoto (C&C), descargar plugins maliciosos adicionales y realizar clics sin el consentimiento o conocimiento del usuario.

3.    Lotoor - Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.

Los investigadores de Check Point también han analizado las vulnerabilidades más explotadas en el último mes.

Top 3 de vulnerabilidades más explotadas en diciembre

•    ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Al enviar una solicitud a través de una red a Microsoft Windows Server 2003 R2 desde Microsoft Internet Information Services 6.0, un ciberdelincuente podría ejecutar de forma remota un código arbitrario o causar una denegación de servicio en el servidor de destino. Esto se debe, principalmente, a una vulnerabilidad de desbordamiento del búfer como resultado de una validación incorrecta de un encabezado largo en una solicitud HTTP.

•    ↔ Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.

•    ↑ Inserción de código de configuración errónea en servidores web PHPMyAdmin – Se ha descubierto una vulnerabilidad en la inserción de código en PHPMyAdmin, la cual se debe a una configuración errónea de PHPMyAdmin. Un ciberdelincuente puede aprovechar este error enviando una petición HTTP especialmente diseñada para dicho objetivo.

El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5.5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.