Qbot, el troyano bancario que afecta a la Argentina

Check Point Research un proveedor líder especializado en ciberseguridad a nivel mundial, publicó su Índice Global de Amenazas del mes de noviembre de 2022. Este mes regresó Emotet, un ambicioso malware troyano que estuvo ausente por un tiempo. Qbot ocupó el tercer lugar por primera vez desde julio de 2021, con un impacto global del 4 %, y hubo un aumento notable en los ataques de Raspberry Robin, un gusano sofisticado que generalmente usa unidades USB maliciosas para infectar máquinas.

En julio de 2022, Check Point Research (CPR) informó una disminución significativa en el impacto y la actividad global de Emotet, sospechando que su ausencia solo sería temporal. Como se predijo, el malware troyano auto propagable ahora está escalando nuevamente en el índice, alcanzando el segundo lugar como el malware más extendido en noviembre. Su impacto en las organizaciones a nivel mundial es del 4%. Si bien Emotet comenzó como un troyano bancario, su diseño modular le permitió evolucionar hasta convertirse en un distribuidor de otros tipos de malware y, por lo general, se propaga a través de campañas de phishing. El aumento de la prevalencia de Emotet podría contribuir parcialmente a una serie de nuevas campañas de malspam lanzadas en noviembre, que están diseñadas para distribuir las cargas útiles del troyano bancario IcedID.

Además, por primera vez desde julio de 2021, Qbot, un troyano que roba credenciales bancarias y pulsaciones de teclas, alcanzó el tercer lugar en la lista de malware principal, con un impacto global del 4 %. Los actores de amenazas detrás del malware son ciberdelincuentes motivados financieramente, que roban datos financieros, credenciales bancarias e información del navegador web de sistemas infectados y comprometidos. Una vez que los actores de amenazas de Qbot logran infectar un sistema, instalan una puerta trasera para otorgar acceso a los operadores de ransomware, lo que lleva a ataques de doble extorsión. En noviembre, Qbot aprovechó una vulnerabilidad de Windows Zero-Day para proporcionar a los actores de amenazas acceso completo a las redes infectadas.

Este mes también se vio un aumento en Raspberry Robin, un gusano sofisticado que usa unidades USB maliciosas que contienen archivos de acceso directo de Windows que parecen legítimos pero que de hecho infectan las máquinas de la víctima. Microsoft descubrió que evolucionó de un gusano ampliamente distribuido a una plataforma de infección para distribuir malware, vinculado a otras familias de malware y métodos de infección alternativos más allá de su propagación original en unidades USB.

‘Si bien estos malwares sofisticados pueden permanecer inactivos durante los períodos más tranquilos, las últimas semanas actúan como un claro recordatorio de que no permanecerán en silencio por mucho tiempo. No podemos darnos el lujo de volvernos complacientes, por lo que es importante que todos permanezcan atentos al abrir correos electrónicos, hacer clic en enlaces, visitar sitios web o compartir información personal’, dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software.

CPR también reveló que «Web Servers Malicious URL Directory Traversal» es la vulnerabilidad explotada más común, que afecta al 46% de las organizaciones a nivel mundial, seguida de cerca por «Web Server Exposed Git Repository Information Disclosure» con un impacto del 45%. En noviembre también vio a Educación/Investigación mantenerse en primer lugar como la industria más atacada a nivel mundial.

Los 3 malware más buscados en Argentina en noviembre:

• Qbot: Qbot, también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar las credenciales bancarias de los usuarios y las pulsaciones de teclas. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Su impacto a nivel local es del 14.60% 

• FormBook: FormBook es un ladrón de información dirigido al sistema operativo Windows y se detectó por primera vez en 2016. Se comercializa como malware como servicio (MaaS) en foros clandestinos de piratería por sus sólidas técnicas de evasión y su precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, capturas de pantalla, monitorea y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con las órdenes de su C&C. Su incidencia  en el país es del  8.03%.

• Esfury: Esfury es un gusano que hace que un sistema comprometido sea vulnerable a ataques adicionales y se propague a través de unidades extraíbles o de red. Una vez que Esfury está dentro de una computadora, se conecta a un sitio web remoto para obtener comandos. Esfury también cambia la página predeterminada de Internet Explorer y modifica la configuración del sistema. Además, puede modificar el archivo de hosts y una serie de configuraciones de seguridad, así como finalizar o bloquear el acceso a una gran cantidad de procesos. Esfury puede interrumpir la navegación por Internet, desviando las búsquedas a sitios publicitarios específicos y reducir la velocidad de la red. Su impacto a nivel local es del 7,30%.

Los sectores más atacados a nivel mundial:

Este mes, Educación/Investigación sigue siendo la industria más atacada a nivel mundial, seguida por Gobierno/Militar y luego Salud.

• Educación/Investigación
• Gobierno/Militar
• Cuidado de la salud

Top 3 vulnerabilidades más explotadas en noviembre:

*Las flechas se relacionan con el cambio de rango en comparación con el mes anterior.

Este mes, «Web Servers Malicious URL Directory Traversal» es la vulnerabilidad más explotada y afecta al 46 % de las organizaciones a nivel mundial, seguida de «Web Server Exposed Git Repository Information Disclosure» con un impacto del 45 %. La “ejecución remota de código de encabezados HTTP” sigue siendo la tercera vulnerabilidad más utilizada con un impacto global del 42 %.

• ↑ Servidores web Malicioso URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta adecuadamente el URI para los patrones transversales de directorio. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.

• ↓ Divulgación de información del repositorio Git expuesto al servidor web: se informó una vulnerabilidad de divulgación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación no intencional de la información de la cuenta.

• ↔ Ejecución remota de código de encabezados HTTP
  (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756): los encabezados HTTP permiten que el cliente y el servidor pasen información adicional con una solicitud HTTP. Un atacante remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina de la víctima.

Top 3 del malware móvil mundial en noviembre:

Este mes, Anubis sigue siendo el malware móvil más frecuente, seguido de Hydra y AlienBot.

• Anubis: Anubis es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente, adquirió funciones adicionales, incluida la funcionalidad de troyano de acceso remoto (RAT), registrador de teclas y capacidad de grabación de audio, así como varias funciones de ransomware. Se detectó en cientos de aplicaciones diferentes disponibles en Google Store.

• Hydra-Hydra: Hydra-Hydra es un troyano bancario diseñado para robar credenciales financieras solicitando a las víctimas que habiliten permisos peligrosos.

• AlienBot: AlienBot es un troyano bancario para Android que se vende clandestinamente como Malware-as-a-Service (MaaS). Admite el registro de teclas, superposiciones dinámicas para el robo de credenciales, así como la recolección de SMS para eludir 2FA. Se proporcionan capacidades adicionales de control remoto utilizando un módulo TeamViewer.

El Índice de Impacto de Amenazas Globales de Check Point y su ThreatCloud Map funcionan con la inteligencia de ThreatCloud de Check Point. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, a través de redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, el brazo de inteligencia e investigación de Check Point Software Technologies.