lunes, mayo 18, 2020

Check Point descubre campañas de spam relacionadas con el Covid-19 que propagan el troyano de acceso remoto Agent Tesla para robar contraseñas


Check Point Research, división de Inteligencia de Amenazas Check Point® Software Technologies Ltd, proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su último Índice Global de Amenazas de abril de 2020.  En esta nueva entrega, los investigadores de la compañía alertan de que a lo largo del último mes han detectado varias campañas de spam relacionadas con el coronavirus (COVID-19) que distribuyen una nueva variante del troyano de acceso remoto llamado Agent Tesla. Este ciberataque afectó al 3% de las empresas en todo el mundo en abril, situándose en tercera posición entre laos malware más buscados. 
La nueva variante de Agent Tesla ha sido modificada para robar contraseñas Wi-Fi y las claves de acceso a Outlook de los equipos infectados. Durante el mes de abril se distribuyó como adjunto en varias campañas de spam relacionadas con COVID-19 que intentaban atraer a la víctima para que descargase archivos maliciosos con el pretexto de proporcionar información interesante sobre la pandemia. Una de estas campañas suplantaba a la Organización Mundial de la Salud y utilizaba el asunto "INFORMACIÓN URGENTE: PRIMERA PRUEBA DE VACUNAS HUMANAS DE COVID-19/ACTUALIZACIÓN DE RESULTADOS".  Esto pone de relieve cómo los cibercriminales aprovechan cualquier acontecimiento o noticia relevante que preocupe al público en general para que sus ataques tengan más éxito.
El conocido troyano bancario Dridex, que en marzo se situó por primera vez entre los diez malwares más buscados a nivel mundial, tuvo un impacto aún mayor en abril (4%) situándose en tercer lugar del ranking. En España, Dridex sigue siendo la principal amenaza un mes más para el 6,27% de las compañías.
"Las campañas de malspam de Agent Tesla que hemos visto en abril demuestran la rapidez con la que los cibercriminales aprovechan las noticias de actualidad para engañar a sus víctimas ", explica Antonio Amador, Country Manager para Región Norte de América Latina de Check Point. “El hecho de que Agent Tesla y Dridex se encuentren entre los tres primeros puestos del índice de amenazas evidencia que los criminales centran sus ataques en robar los datos y credenciales para monetizarlos. Por lo tanto, es esencial que las empresas adopten un enfoque proactivo y dinámico en la formación de sus empleados, ofreciéndoles el conocimiento y las herramientas, sobre todo con el auge del teletrabajo", añade Amador.
El equipo de investigación también advierte que la “Ejecución de Código en remoto de MVPower DVR” se mantuvo como la vulnerabilidad más explotada que ha afectado al 46% de las organizaciones a nivel mundial. En segundo lugar, se encuentra la "Revelación de información a través de Heartbeat en OpenSSL TLS DTLS" (41%) seguida por la "Inyección de comandos sobre HTTP" (40%).

Los 3 malwares más buscados en España en abril:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1.      ↑Dridex - Dridex es un troyano bancario que afecta al sistema operativo Windows que se envía mediante una campaña de spam y kits de vulnerabilidad para interceptar y redirigir las credenciales bancarias a un servidor controlado por el cibercriminal. Dridex, que ha afectado al 6,27% de las empresas españolas, se pone en contacto con un servidor remoto y envía información sobre el sistema infectado además de ser capaz de descargar y ejecutar módulos adicionales para el control remoto.

2.      ↓XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4,94% de las empresas en España.

3.      ↑Zloader - Es un virus que se emplea para descargar otros programas cuyo orígenes están ligados al conocido troyano bancario Zeus. Sin embargo, las últimas versiones incluyen una serie de funcionalidades de robo de datos orientadas al espionaje. Ha afectado a un 4,75%.

Top 3 del malware móvil mundial en abril

1.     ↔ xHelper- Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación es capaz de evadir los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.

2.     ↑ Lotoor - Herramienta de hacking que explota vulnerabilidades en el sistema operativo Android para obtener privilegios de root.

3.     ↓AndroidBauts - Adware dirigido a usuarios de Android que extrae IMEI, IMSI, localización GPS y otras informaciones de los dispositivos y permite la instalación de aplicaciones y accesos directos de terceros en dispositivos móviles.

Top 3 vulnerabilidades más explotadas en marzo:

1.      Ejecución de código en remoto de MVPower DVR - Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.

2.      Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.

3.      Inyección de comandos sobre HTTP - Un atacante remoto puede explotar una vulnerabilidad de Inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.