Una nueva campaña de Emotet esquiva los bloqueos de Microsoft y distribuye archivos maliciosos de OneNote

139

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de marzo. Los investigadores han descubierto una nueva campaña de malware del troyano que se sitúa como en el segundo malware más prevalente el mes pasado.

Los atacantes de Emotet han estado explorando desde principios de año formas alternativas de distribuir archivos maliciosos desde que Microsoft anunció que bloquearía las macros de los archivos de Office. En la última campaña, los ciberdelincuentes han adoptado una nueva estrategia que consiste en el envío de mensajes de spam con un archivo malicioso de OneNote. Una vez abierto, aparece un mensaje falso que engaña a la víctima para que haga clic en el documento, lo que descarga la infección de Emotet. Una vez instalado, el malware puede recopilar datos de del usuario, como credenciales de inicio de sesión e información de contacto. Así, utilizan la información recopilada para ampliar el alcance de la campaña y facilitar futuros ciberataques.

Sabemos que Emotet es un troyano sofisticado y no nos sorprende ver que ha logrado sortear las últimas defensas de Microsoft. Lo más importante que pueden hacer los usuarios es asegurarse de que cuentan con la seguridad adecuada en el correo electrónico, evitar la descarga de archivos inesperados y comprobar siempre el origen de un e-mail y su contenido y en caso de sospecha, no hacer clic en ningún link”, asegura Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

Los 3 malware más buscados en España en marzo:

*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

  1. ↔ Qbot –AKA Qakbot, es un troyano bancario que apareció por primera vez en 2008 diseñado para robar las credenciales bancarias y las pulsaciones de teclas. A menudo se distribuye a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 11,7 % de los ataques en España.
  • Guloader – Guloader es un downloader muy utilizado desde diciembre de 2019. Cuando apareció por primera vez, se utilizaba para descargar Parallax RAT pero se ha aplicado a otros troyanos de acceso remoto y ladrones de información como Netwire, FormBook y Agent Tesla. Este downloader ha subido su incidencia hasta llegar al 11,4%.
  • FormBook – FormBook es un infostealer dirigido al sistema operativo y fue detectado por primera vez en 2016. Se comercializa en foros clandestinos de ciberdelincuencia como Malware as a Service (MaaS) por sus potentes técnicas de evasión y su precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, realiza capturas de pantalla, monitoriza y registra las pulsaciones de teclado, y puede descargar y ejecutar archivos según las órdenes de su C&C. El infostealer impactó en 5,1% de las empresas españolas.

Las tres industrias más atacadas a nivel mundial

El mes pasado, la educación/investigación continuó siendo la industria más atacada a nivel mundial, seguida por gobierno/militar y sanidad.

  1. Educación/investigación
  2. Gobierno/militar
  3. Sanidad

Las tres vulnerabilidades más explotadas en marzo:

Por otra parte, Check Point Research también reveló que «Apache Log4j Remote Code Execution» fue la vulnerabilidad más explotada y ha afectado al 44% de las empresas a nivel mundial, «Web Servers Malicious URL Directory Traversal«, seguida por «Inyección de comandos sobre HTTP”, que afectó al 43% y Web Server Exposed Git Repository Information Disclosure«, al 46%, con un impacto global del 45%.

  1. Web Servers Malicious URL Directory Traversal – La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no depura correctamente el URI para los patrones transversales. La explotación permite acceder a archivos arbitrarios en el servidor vulnerado.
  2. Inyección de comandos sobre HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un ciberdelincuente ejecutar código arbitrario en el equipo de destino.
  3. MVPower DVR Ejecución remota de código – Existe una vulnerabilidad de ejecución remota de código en los MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una solicitud crafteada.

Los tres malwares móviles más usados en marzo:

  1. AhMyth –troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, la toma de capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, que generalmente se usa para robar información confidencial.
  2. Anubis –malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, ha ganado funcionalidades adicionales que incluyen troyano de acceso remoto (RAT), keylogger, capacidades de grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
  3. Hiddad – malware de Android que reempaqueta aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.