En su Índice Global de Amenazas, publicado al cierre del primer semestre, los investigadores de Check Point Software Technologies destacaron al troyano Qbot como el malware dominante en 2023, manteniendo la primera posición en cinco de los seis meses del año a nivel mundial. Al mismo tiempo, el troyano para móviles, SpinOk, es otro de los que preocupa.
Índice de temas
Qbot
Qbot, que apareció originalmente en 2008 como troyano bancario, ha evolucionado de forma permanente, ampliando sus capacidades para abarcar el robo de contraseñas, correos electrónicos y datos de tarjetas de crédito.
Suele proliferar a través del spam y emplea una serie de técnicas, como metodologías anti-VM, anti-depuración y anti-sandbox, destinadas a complicar el análisis y eludir la detección.
En la actualidad, su función principal es servir de conducto para otros programas maliciosos, afianzarse en empresas objetivo y servir de plataforma de lanzamiento para colectivos de ransomware.
SpinOk
A su vez, los investigadores también detectaron un malware para dispositivos móviles que ha cosechado la asombrosa cifra de 421 millones de descargas hasta la fecha del informe. El kit de desarrollo de software (SDK) troyanizado, SpinOk, alcanzó hace poco y por primera vez, el primer puesto en la jerarquía de familias de malware para móviles.
Este SDK se utiliza en un montón de aplicaciones de marketing populares e incluso se ha infiltrado en aplicaciones y juegos muy populares, algunos de los cuales están disponibles en Google Play Store. Con su capacidad para robar información sensible del dispositivo y monitorizar las actividades del portapapeles, SpinOk supone una grave amenaza para la privacidad y la seguridad del usuario, aseguran desde Check Point.
MOVEit Transfer y MOVEit Cloud
Cabe recordar que mayo fue testigo de la aparición de una campaña de ransomware a gran escala y de alcance mundial: en ese mes Progress Software Corporation expuso una vulnerabilidad en MOVEit Transfer y MOVEit Cloud (CVE-2023-34362), que dio lugar a un acceso no autorizado.
Aunque se parcheó en apenas 48 horas, los ciberdelincuentes afiliados a la facción de ransomware Clop, vinculada a Rusia, explotaron esta debilidad y ejecutaron un asalto a la cadena de suministro dirigido a los usuarios de MOVEit. Tras este suceso, se ha hecho pública una lista de 108 empresas, incluidas siete universidades estadounidenses. Miles de registros se vieron comprometidos como resultado de este incidente.
Maya Horowitz, VP de Investigación de Check Point Software, comporte con InnovaciónDigital360 que: “El exploit MOVEit demuestra que 2023 ya se está convirtiendo en un año trascendental para el ransomware. Grupos como Clop no están operando tácticamente para infectar a un único objetivo, sino que hacen sus operaciones más eficientes aprovechándose de los software que se utilizan habitualmente en entornos corporativos. Este enfoque supone alcanzar a cientos de víctimas en un solo ataque”,
“Este patrón de ataque enfatiza la importancia de que las empresas implementen una estrategia de ciberseguridad de múltiples capas y prioricen la aplicación de parches rápidamente cuando se revelan vulnerabilidades”, añade.
Cuáles fueron los tres malware más buscados en Argentina en junio
Qbot
En particular, el malware más buscado en Argentina en junio incluyó Qbot, el troyano bancario originado en 2008, diseñado para secuestrar credenciales bancarias y pulsaciones de teclado de los usuarios. Qbot, como marcamos anteriormente, emplea diversas técnicas anti-VM, anti-depuración y anti-sandbox. Se difunde con frecuencia a través de correos electrónicos de spam para frustrar el análisis y la detección. Su prevalencia en empresas argentinas ha escalado hasta el 10,27%.
CPU XMRig
El software de código abierto de minería de CPU XMRig, utilizado para la minería de la criptomoneda Monero, ha aumentado a una prevalencia del 3,13% en las empresas argentinas. Este software es aprovechado con frecuencia por los actores de amenazas, integrándolo en su malware para minar ilícitamente en los dispositivos de las víctimas.
Esfury
El gusano Esfury, que hace que un sistema comprometido sea vulnerable a ataques adicionales, también ha subido a una prevalencia del 3,13% en las empresas argentinas. Este gusano se propaga a través de unidades extraíbles o de red, conectándose a un sitio web remoto para recibir comandos. Esfury puede alterar la configuración del sistema, interrumpir la navegación por Internet y disminuir la velocidad de la red.
Prohibida su reproducción total o parcial.