AsyncRAT, es el malware con el mayor impacto en Colombia en noviembre

• Los investigadores han informado de una nueva campaña de AsyncRAT, en la que se utilizan archivos HTML maliciosos para propagar el sigiloso malware es la que más impactó en noviembre en Colombia
• Anubis es el troyano bancario diseñado para teléfonos móviles Android con el mayor impacto en noviembre en el mundo
• El programa de descargas FakeUpdates ha saltado directamente al segundo puesto global tras una breve pausa en la lista de los diez primeros

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de noviembre 2023, resaltando para Colombia a los tres malware más peligrosos que son AsymcRAT, Remcos y Android.Pandora.

El mes pasado, los investigadores descubrieron a nivel global una nueva campaña de AsyncRAT en la que se utilizaban archivos HTML maliciosos para propagar el malware encubierto. Por su parte, FakeUpdates, un descargador de JavaScript, ha saltado directamente al segundo puesto tras un paréntesis de dos meses en la lista de los diez primeros, y una vez más el sector de la educación sigue siendo el más afectado en todo el mundo.

AsyncRAT es un troyano de acceso remoto (RAT) conocido por su capacidad para vigilar y controlar remotamente sistemas informáticos sin ser detectado. El malware, que ocupó el sexto lugar en la lista de los diez mejores del mes pasado, con una campaña en la que los destinatarios recibían un correo con un enlace incrustado que descargaba un archivo HTML malicioso, que permitía al malware camuflarse como una aplicación de confianza.

Mientras tanto, el programa de descarga FakeUpdates ha vuelto a entrar en la lista de los principales programas maliciosos tras una pausa de dos meses. Escrito en JavaScript, este marco de distribución de malware utiliza páginas web comprometidas para engañar a los usuarios y hacerles ejecutar falsas actualizaciones del navegador. Ha dado lugar a otros muchos programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.

“Las ciberamenazas de noviembre demuestran cómo los ciberdelincuentes aprovechan métodos aparentemente inocuos para infiltrarse en las redes. El auge de la campaña AsyncRAT y el resurgir de FakeUpdates ponen de manifiesto una tendencia en la que los atacantes utilizan una simplicidad engañosa para eludir las defensas tradicionales, afirmó Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América latina de Check Point Software. 

Es necesario que las empresas adopten un enfoque de seguridad en múltiples capas que no sólo se base en el reconocimiento de las amenazas conocidas, sino que también tenga la capacidad de identificar, prevenir y responder a los nuevos vectores de ataque antes de hacer daño”, dijo Maya Horowitz, VP de Investigación de Check Point Software.

CPR también ha revelado que “Inyección de comandos a través de HTTP” ha sido la vulnerabilidad más explotada en noviembre y que ha afectado al 45% de las empresas a nivel global, seguido de “Web Servers Malicious URL Directory Traversal” con el 42% y “Inyección de comandos por Zyxel zyWALL” con otro el 41%.

Los tres malware más buscados en Colombia en noviembre:

*Las flechas indican el cambio en el ranking en comparación con el mes pasado. 

1. ↑Asyncrat – AsyncRates un troyano dirigido a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado.  Su impacto en Colombia en noviembre fue del 10.18% y globalmente del 1.12%.
2. ↔Remcos– Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en noviembre en un 7,19% a las empresas en Colombia y en 1.48% a las empresas en el mundo.
3. ↓Android.pandora – Android.pandora es un malware, que a su vez es una versión modificada del troyano Mirai, cuyo objetivo es comprometer dispositivos IoT con el fin de crear una botnet. Android.pandora, está diseñado para explotar dispositivos de TV basados en Android. La infección generalmente se inicia mediante el uso de aplicaciones de películas y TV pirateadas o actualizaciones de firmware fraudulentas. Su impacto a las empresas colombianas fue en el mes de noviembre del 5.69% y globalmente del 0.47%.

Las tres industrias más atacadas en noviembre:

El mes pasado, la Comunicaciones continuó siendo la industria más atacada a nivel mundial, seguida por Finanzas/banca y Salud.

1. Gobierno/militar
2. Salud
3. Educación/investigación

Las tres vulnerabilidades más explotadas en noviembre 

Por otra parte, Check Point Software señala que el mes pasado la vulnerabilidad más utilizada fue la de “Inyección del comando Zyxel ZyWALL”, impactando en un 42% de las empresas en todo el mundo, seguido de “Inyección de comandos a través de HTTP” con un 42 % e “Web Servers Malicious URL Directory Traversal” con un 42%.

1. ↑Inyección de comandos a través de HTTP – Un atacante remoto puede enviar una solicitud especialmente diseñada a la víctima y, si tiene éxito, le permite ejecutar un código arbitrario en el dispositivo objetivo.
2. ↑ Web Servers Malicious URL Directory Traversal – Esta vulnerabilidad se debe a un error de validación de la entrada en servidores web que no ha desinfectado adecuadamente la URL. Una explotación exitosa permite a los atacantes remotos sin autentificar revelar o acceder a cualquier archivo del servidor atacado.
3. ↓ Inyección del comando Zyxel ZyWALL (CVE-2023-28771) – La explotación de esta vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios de forma remota en el sistema operativo en el dispositivo afectado. 

Los tres malware móviles más usados en noviembre en el mundo 

1. Anubis– Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

2. AhMyth– Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.

3. SpinOk – Módulo de software para Android que funciona como spyware. Recopila información sobre los archivos almacenados en los dispositivos y puede transferirla a ciberdelincuentes. El módulo malicioso se ha encontrado presente en más de 100 aplicaciones Android y se descargó más de 421.000.000 veces hasta mayo de 2023.

El Índice Global de Impacto de Amenazas de Check Point Software y su mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.