Check Point Research índice Global de Amenazas de octubre: NJRat salta al segundo puesto, AgentTesla se propaga a través de una nueva campaña de mal-spam y el sector más atacado en España es el de las comunicaciones

NJRat ha escalado cuatro puestos hasta la segunda posición y una nueva campaña de spam malicioso relacionada con AgentTesla se convierte en el sexto malware más utilizado

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de octubre. Durante este periodo, el troyano de acceso remoto (RAT) NJRat, conocido por atacar a organismos públicos e instituciones de Oriente Próximo, ha ascendido cuatro puestos, del sexto al segundo. Mientras tanto, se ha puesto en marcha una nueva campaña de spam malicioso con la RAT avanzada AgentTesla, y el sector más atacado en España es el de las comunicaciones.

Se ha visto que en octubre AgentTesla se distribuía a través de archivos comprimidos que alojaban una extensión maliciosa Microsoft Compiled HTML Help (.CHM). Los documentos se enviaban por correo electrónico como archivos adjuntos .GZ o .zip con nombres relacionados con pedidos y envíos recientes, como – po-######.gz / shipping documents.gz, diseñados para atraer a los destinatarios a descargar el malware. Una vez instalado, AgentTesla es capaz de registrar las pulsaciones del teclado, capturar datos del portapapeles, acceder al sistema de archivos y transferir subrepticiamente la información robada a un servidor de Mando y Control (C&C).

«No hay que permitirse pasar por alto las tácticas que utilizan los ciberdelincuentes para distribuir malware, como imitar marcas conocidas o enviar archivos maliciosos por email», afirma Maya Horowitz, VP Research de Check Point Software. «A medida que se adentra noviembre, en una época de compras muy ajetreada, es importante permanecer alerta y recordar que los atacantes se aprovechan activamente de lo mucho que interesan las ofertas y los envíos online».

CPR también ha revelado que «Inyección de comandos por Zyxel zyWALL» ha sido la vulnerabilidad más explotada en octubre y que ha afectado al 42% de las empresas a nivel global, seguido de «Inyección de comandos a través de HTTP» con el 42% y «Web Servers Malicious URL Directory Traversal» con otro el 42%.

Los tres malware más buscados en España en octubre:
*Las flechas indican el cambio en el ranking en comparación con el mes pasado.

1. ↑ Nanocore – NanoCore es un troyano de acceso remoto dirigido a usuarios de sistemas operativos Windows que apareció por primera vez en 2013. Todas las versiones de la RAT contienen plugins básicos y funcionalidades como captura de pantalla, minería de criptomonedas, control remoto del escritorio y robo de sesiones de webcam. Este troyano ha aumentado su incidencia en las empresas españolas hasta el 2%.
2. ↑Android.Pandora – El malware Android.Pandora es una versión modificada del troyano Mirai, cuyo objetivo es comprometer dispositivos IoT con el fin de crear una botnet. Android.Pandora, está adaptado para explotar dispositivos de TV con sistema operativo Android. La infección suele iniciarse mediante el uso de aplicaciones de cine y televisión pirateadas o actualizaciones de firmware fraudulentas. Este malware ha impactado en el 1,9% de las empresas en España.
3. ↓Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para distribuir otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar su detección. Puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha bajado su incidencia hasta el 1,7%.

Las tres industrias más atacadas en España en octubre:
El mes pasado, la Comunicaciones continuó siendo la industria más atacada a nivel mundial, seguida por Finanzas/banca y Sanidad.

1. Comunicaciones
2. Finanzas/Banca
3. Sanidad

Las tres vulnerabilidades más explotadas en octubre
Por otra parte, Check Point Software señala que el mes pasado la vulnerabilidad más utilizada fue la de «Inyección del comando Zyxel ZyWALL», impactando en un 42% de las empresas en todo el mundo, seguido de «Inyección de comandos a través de HTTP» con un 42 % e «Web Servers Malicious URL Directory Traversal» con un 42%.

1. ↑ Inyección del comando Zyxel ZyWALL (CVE-2023-28771) – La explotación de esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios de forma remota en el sistema operativo en el dispositivo afectado. 
2. ↔ Inyección de comandos a través de HTTP – Un atacante remoto puede enviando una solicitud especialmente diseñada a la víctima y, si tiene éxito, le permite ejecutar un código arbitrario en el dispositivo objetivo.
3. ↓ Web Servers Malicious URL Directory Traversal – Esta vulnerabilidad se debe a un error de validación de la entrada en servidores web que no ha desinfectado adecuadamente la URL. Una explotación exitosa permite a los atacantes remotos sin autentificar revelar o acceder a cualquier archivo del servidor atacado.

Los tres malware móviles más usados en octubre

1. Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
2. AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.
3. Hiddad – Hiddad es un malware para Android que re empaqueta aplicaciones legítimas y las coloca en la tienda de un tercero. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.

El Índice Global de Impacto de Amenazas de Check Point Software y su mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

Fuente Comunicae