El malware más buscado de septiembre de 2024: técnicas notables impulsadas por IA y amenazas persistentes de RansomHub

El último índice de amenazas de Check Point enfatiza el cambio hacia tácticas de malware impulsadas por IA en el panorama cibernético actual

El Índice de Amenazas Globales de Check Point para septiembre de 2024 reveló su Índice de Amenazas Globales para septiembre de 2024. El informe destaca una tendencia interesante en el panorama de la ciberseguridad, en particular la aparición de malware impulsado por inteligencia artificial (IA), junto con el dominio actual de las amenazas de ransomware.

Este mes, investigadores descubrió que los actores de amenazas probablemente usaron IA para desarrollar un script que entrega el malware AsyncRAT, que ahora ocupa el décimo lugar en la lista de malware más frecuente. El método implicaba contrabando de HTML, donde se enviaba un archivo ZIP protegido con contraseña que contenía código VBScript malicioso para iniciar una cadena de infección en el dispositivo de la víctima. El código bien estructurado y comentado sugirió la participación de la IA. Una vez ejecutado por completo, se instala AsyncRAT, lo que permite al atacante registrar las pulsaciones de teclas, controlar de forma remota el dispositivo infectado e implementar malware adicional. Este descubrimiento destaca una tendencia creciente de ciberdelincuentes con habilidades técnicas limitadas que utilizan la IA para crear malware más fácilmente.

El hecho de que los actores de amenazas hayan comenzado a utilizar IA generativa como parte de su infraestructura de ataque pone de relieve la evolución continua de las tácticas de ciberataque. Los ciberdelincuentes aprovechan cada vez más las tecnologías disponibles para mejorar sus operaciones, por lo que es esencial que las organizaciones implementen estrategias de seguridad proactivas, incluidos métodos de prevención avanzados y capacitación integral para sus equipos.

Este mes, Joker sigue siendo el malware móvil más frecuente, mientras que RansomHub sigue siendo el grupo líder de ransomware, manteniendo ambos sus posiciones del mes anterior. Estos hallazgos resaltan las amenazas persistentes que plantean estas entidades maliciosas en el cambiante panorama de la seguridad cibernética.

Principales familias de malware

*Las flechas se relacionan con el cambio de rango en comparación con el mes anterior.

Actualizaciones falsas es el malware más frecuente este mes con un impacto de 7% organizaciones mundiales, seguidas por androxgh0st con un impacto global de 6%, y libro de formularios con un impacto global de 4%.

1. Actualizaciones falsas – FakeUpdates (también conocido como SocGholish) es un programa de descarga escrito en JavaScript. Escribe las cargas útiles en el disco antes de ejecutarlas. Las actualizaciones falsas llevaron a un mayor compromiso a través de muchos malware adicionales, incluidos GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
2. Androxgh0st – Androxgh0st es una botnet dirigida a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas a PHPUnit, Laravel Framework y Apache Web Server. El malware roba información confidencial, como información de la cuenta de Twilio, credenciales SMTP, clave de AWS, etc. Utiliza archivos Laravel para recopilar la información requerida. Tiene diferentes variantes que escanean en busca de información diferente.
3. ^ Cuaderno de formularios – Formbook es un Infostealer dirigido al sistema operativo Windows y se detectó por primera vez en 2016. Se comercializa como Malware como servicio (MaaS) en foros clandestinos de piratería por sus sólidas técnicas de evasión y su precio relativamente bajo. FormBook recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con las órdenes de su C&C.
4. Qbot – Qbot, también conocido como Qakbot, es un malware multipropósito que apareció por primera vez en 2008. Fue diseñado para robar las credenciales de un usuario, registrar las pulsaciones de teclas, robar cookies de los navegadores, espiar actividades bancarias e implementar malware adicional. Qbot, que a menudo se distribuye a través de correo electrónico no deseado, emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. A partir de 2022, surgió como uno de los troyanos más frecuentes.
5. AgenteTesla – AgentTesla es un RAT avanzado que funciona como registrador de teclas y ladrón de información, que es capaz de monitorear y recopilar la entrada del teclado de la víctima, el teclado del sistema, tomar capturas de pantalla y filtrar credenciales a una variedad de software instalado en la máquina de la víctima (incluido Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook).
6. ↓ Forpiex – Phorpiex es una botnet conocida por distribuir otras familias de malware a través de campañas de spam, así como por impulsar campañas de sextorsión a gran escala.
7. ^ Más lejos- Vidar es un malware de robo de información que funciona como malware como servicio y que se descubrió por primera vez a finales de 2018. El malware se ejecuta en Windows y puede recopilar una amplia gama de datos confidenciales de navegadores y billeteras digitales. Además, el malware se utiliza como descargador de ransomware.
8. ^ NJRata – NJRat es un troyano de acceso remoto dirigido principalmente a agencias y organizaciones gubernamentales de Oriente Medio. El troyano surgió por primera vez en 2012 y tiene múltiples capacidades: capturar pulsaciones de teclas, acceder a la cámara de la víctima, robar credenciales almacenadas en los navegadores, cargar y descargar archivos, realizar manipulaciones de procesos y archivos y ver el escritorio de la víctima. NJRat infecta a las víctimas mediante ataques de phishing y descargas no autorizadas, y se propaga a través de llaves USB o unidades en red infectadas, con el apoyo del software de servidor Command & Control.
9. ↑ Estupidez – Conocida desde 2011, Glupteba es una puerta trasera que gradualmente maduró hasta convertirse en una botnet. Para 2019, incluía un mecanismo de actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de ladrón de navegadores y un explotador de enrutadores.
10. ↑ Rata asíncrona – Asyncrat es un troyano dirigido a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado.

Principales vulnerabilidades explotadas

1. Inyección de comandos a través de HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comando a través de HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina de destino.
2. ^ Servidores web Recorrido de directorios de URL maliciosos (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta adecuadamente el URI para los patrones de recorrido del directorio. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
3. Ejecución remota de código de encabezados HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – Los encabezados HTTP permiten al cliente y al servidor pasar información adicional con una solicitud HTTP. Un atacante remoto puede utilizar un encabezado HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.

Principales malwares móviles

este mes Bromista en el 1^calle lugar en el malware móvil más frecuente, seguido por Anubis y hiddad.

1. comodín – Un software espía de Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware solicita silenciosamente a la víctima servicios premium en sitios web publicitarios.
2. Anubis – Anubis es un malware troyano bancario diseñado para teléfonos móviles con Android. Desde que se detectó inicialmente, ha adquirido funciones adicionales que incluyen la funcionalidad de troyano de acceso remoto (RAT), registrador de pulsaciones de teclas, capacidades de grabación de audio y varias funciones de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. ↑ hiddad – Hiddad es un malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las publica en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles de seguridad clave integrados en el sistema operativo.

Industrias más atacadas a nivel mundial

este mes Educación/Investigación permaneció en el 1er lugar en las industrias atacadas a nivel mundial, seguido por Gobierno/Militar y Cuidado de la salud.

1. Educación/Investigación
2. Gobierno/Militar
3. Cuidado de la salud

Principales grupos de ransomware

Los datos se basan en información de “sitios vergonzosos” de ransomware administrados por grupos de ransomware de doble extorsión que publicaron información de las víctimas. RansomHub es el grupo de ransomware más frecuente este mes, responsable de 17% de los ataques publicados, seguidos de Jugar con 10% y Hazlo con 5%.

3. RansomHub – RansomHub es una operación de ransomware como servicio (RaaS) que surgió como una versión renombrada del anteriormente conocido ransomware Knight. RansomHub, que apareció de manera destacada a principios de 2024 en foros clandestinos sobre ciberdelincuencia, rápidamente ganó notoriedad por sus agresivas campañas dirigidas a varios sistemas, incluidos Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear métodos de cifrado sofisticados.
4. Jugar – Play Ransomware, también conocido como PlayCrypt, es un ransomware que surgió por primera vez en junio de 2022. Este ransomware se ha dirigido a un amplio espectro de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa, y afectó a aproximadamente 300 entidades en octubre de 2023. Play Ransomware normalmente obtiene acceso a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches, como las de las VPN SSL de Fortinet. Una vez dentro, emplea técnicas como el uso de binarios que viven de la tierra (LOLBins) para tareas como la filtración de datos y el robo de credenciales.
5. Hazlo – Qilin, también conocido como Agenda, es una operación criminal de ransomware como servicio que colabora con afiliados para cifrar y exfiltrar datos de organizaciones comprometidas, exigiendo posteriormente un rescate. Esta variante de ransomware se detectó por primera vez en julio de 2022 y está desarrollada en Golang. Agenda es conocida por apuntar a grandes empresas y organizaciones de alto valor, con especial atención a los sectores de salud y educación. Qilin normalmente se infiltra en las víctimas a través de correos electrónicos de phishing que contienen enlaces maliciosos para establecer acceso a sus redes y filtrar información confidencial. Una vez dentro, Qilin normalmente se mueve lateralmente a través de la infraestructura de la víctima, buscando datos críticos para cifrar.