El resurgir de los troyanos: Emotet y Qbot causan un gran impacto

©Bigstock

Actualizado 15 | 12 | 2022 10:39

Troyanos Emotet Qbot

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ha publicado su Índice Global de Amenazas del mes de noviembre de 2022. Este mes ha vuelto Emotet, un ambicioso malware troyano que se tomó un breve descanso durante el periodo estival. Qbot ha alcanzado el tercer puesto por primera vez desde julio de 2021, con un impacto global del 4%, y se ha producido un notable aumento de los ataques de Raspberry Robin, un sofisticado gusano que suele utilizar unidades USB maliciosas para infectar equipos.

En julio de 2022 Check Point Research señaló un descenso significativo en el impacto y la actividad global de Emotet, con la sospecha de que su ausencia sólo sería temporal. Tal y como se predijo, el malware troyano autopropagable está escalando de nuevo en el índice, alcanzando el segundo puesto como malware más extendido en noviembre, con un impacto del 4% en las organizaciones a nivel mundial. Aunque Emotet comenzó siendo un troyano bancario, su diseño modular le ha permitido evolucionar hasta convertirse en un distribuidor de otros tipos de malware, y se propaga habitualmente a través de campañas de phishing. El aumento de la prevalencia de Emotet podría deberse en parte a una serie de nuevas campañas de malspam lanzadas en noviembre, diseñadas para distribuir al troyano bancario IcedID.

Además, por primera vez desde julio de 2021, Qbot, un troyano que roba credenciales bancarias y pulsaciones de teclas, ha alcanzado el tercer puesto en la lista de los principales programas maliciosos, con un impacto global del 4%. Los ciberdelincuentes detrás del malware tienen motivaciones financieras, roban datos financieros, credenciales bancarias e información del navegador web de sistemas infectados. Una vez que los atacantes de Qbot consiguen infectar un sistema, instalan una backdoor para conceder acceso a los operadores del ransomware, lo que da lugar a ataques de doble extorsión. En noviembre, Qbot aprovechó una vulnerabilidad de zero-day de Windows para proporcionar acceso completo a las redes infectadas.

Este mes también se ha producido un repunte de Raspberry Robin, un sofisticado gusano que utiliza unidades USB maliciosas que contienen archivos de acceso directo a Windows que parecen legítimos, pero que en realidad infectan el equipo de la víctima. Microsoft ha descubierto que ha pasado de ser un gusano a una plataforma de distribución de malware, vinculada a otras familias y a métodos de infección alternativos más allá de su propagación original en unidades USB.

“Aunque estos sofisticados programas maliciosos pueden permanecer latentes durante periodos más tranquilos, las últimas semanas nos recuerdan que no están inactivos durante mucho tiempo. No podemos permitirnos bajar la guardia, por lo que es importante mantenerse alerta al abrir correos electrónicos, hacer clic en enlaces, visitar sitios web o compartir información personal”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

“Web Servers Malicious URL Directory Traversal” vuelve al primer lugar de la lista, impactando en el 46% de las empresas a nivel mundial. «La revelación de información del servidor web Git» se sitúa en el segundo puesto y afecta al 45% de las empresas de todo el mundo. En octubre, el sector de la Educación/Investigación sigue siendo el más atacado a nivel mundial.

Los 3 malware más buscados en España en noviembre

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior. 

  1. ↑Qbot– Qbot AKA Qakbot es un troyano bancario que apareció por primera vez en 2008. A menudo distribuido a través de correo electrónico de spam, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Ha sido responsable del 5,59% de ataques en España.
  2. ↔ Emotet –Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para distribuir otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar su detección. Puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha bajado su incidencia hasta el 3,9%.
  3. ↑ XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha impactado en un 3,1% de las organizaciones en España.

Los sectores más atacados a nivel mundial

Este mes el sector Educación/Investigación se mantuvo en primer lugar como la industria más atacada a nivel mundial, seguido de Gobierno/Militar y Sanidad.

  1. Educación/Investigación
  2. Gobierno/Militar
  3. Sanidad 

Top 3 vulnerabilidades más explotadas en noviembre

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente el URI para los patrones de recorrido de directorios. Una explotación exitosa permite a los atacantes remotos no autentificados acceder a archivos arbitrarios en el servidor vulnerable.
  2. ↔“Revelación de información del servidor web Git» – Se ha informado de una vulnerabilidad de revelación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
  3. ↔Inyección de comandos sobre HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un ciberdelincuente ejecutar código arbitrario en el equipo de destino.

Top 3 del malware móvil mundial en noviembre

  1. Anubis – Anubis es un troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó por primera vez, ha ganado funciones adicionales, incluyendo la capacidad de troyano de acceso remoto (RAT), keylogger, grabación de audio, entre otras. Se ha detectado en cientos de aplicaciones diferentes disponibles en la tienda de Google.
  2. Hydra –Hydra es un troyano bancario diseñado para robar credenciales financieras solicitando a las víctimas que habiliten permisos dañinos.
  3. AlienBot – Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.

Más información


Cargando noticia...