AgentTesla desbanca a Formbook del primer puesto y se revela una nueva vulnerabilidad de Text4Shell

• Check Point Research informa de un aumento significativo de los ataques de Lokibot en octubre, lo que le ha llevado al tercer puesto por primera vez en cinco meses. Se ha descubierto por primera vez una nueva vulnerabilidad, Text4Shell, al tiempo que AgentTesla ha ocupado el primer puesto como malware más extendido

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de octubre de 2022. Este mes el keylogger AgentTesla ha ocupado el primer puesto como malware más extendido, afectando al 7% de las organizaciones de todo el mundo. El número de ataques del Infostealer Lokibot ha aumentado considerablemente y ha alcanzado el tercer puesto por primera vez en cinco meses. Además, se ha revelado una nueva vulnerabilidad, Text4Shell, que afecta a la biblioteca Apache Commons Text.

Lokibot es un Infostealer que está diseñado para obtener credenciales de una variedad de aplicaciones, incluyendo: navegadores web, clientes de correo electrónico y herramientas de administración de TI. Como troyano, su objetivo es colarse, sin ser detectado, en un sistema haciéndose pasar por un programa legítimo. Puede distribuirse a través de emails de phishing, páginas web maliciosas, SMS y otras plataformas de mensajería. Este aumento de la popularidad puede explicarse por el incremento de las campañas de spam en torno a consultas, pedidos y mensajes de confirmación de pagos online.

En octubre también se ha revelado una nueva vulnerabilidad crítica, Text4Shell, (CVE-2022-42889). Basada en la funcionalidad de Apache Commons Text, permite realizar ataques a través de la red, sin necesidad de privilegios específicos ni de interacción con el usuario. Text4shell recuerda a la vulnerabilidad Log4Shell, que sigue siendo, un año después, una de las principales amenazas, situándose en el número dos de la lista de octubre. Aunque Text4Shell no ha entrado en la clasificación de las principales vulnerabilidades explotadas este mes, ya ha afectado a más del 8% de las empresas de todo el mundo y Check Point Research seguirá vigilando su impacto.

“Hemos visto muchos cambios en la clasificación de este mes, con un nuevo conjunto de familias de malware que conforman las tres grandes. Es interesante que Lokibot haya subido de nuevo al tercer puesto tan rápidamente, lo que muestra una tendencia creciente hacia los ataques de phishing. A medida que nos adentramos en noviembre, que es un periodo de compras intenso, es importante que los usuarios se mantengan vigilantes y estén atentos a los correos electrónicos sospechosos que puedan contener código malicioso. Es importante estar atento a señales como un remitente desconocido, la solicitud de información personal y los enlaces. En caso de duda, hay que visitar directamente las páginas web y buscar la información de contacto adecuada a partir de fuentes verificadas, y asegurarse de tener instalada una protección contra el malware”, afirma Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

“La revelación de información del servidor web Git” vuelve al primer lugar de la lista, impactando en el 43% de las empresas a nivel mundial. «Apache Log4j Remote Code Execution» se sitúa en el segundo puesto y afecta al 41% de las empresas de todo el mundo. En octubre, el sector de la Educación/Investigación sigue siendo el más atacado a nivel mundial.

Los 3 malware más buscados en España en octubre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Vidar – Vidar es un infostealer que tiene como objetivo los sistemas operativos Windows. Detectado por primera vez a finales de 2018, está diseñado para robar contraseñas, datos de tarjetas de crédito y otra información sensible de varios navegadores web y carteras digitales. Vidar se vende en varios foros online y se utiliza como malware dropper para descargar el ransomware GandCrab como payload secundario. Ha sido responsable del 8,21% de ataques en España.
2. ↔ Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para distribuir otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar su detección. Puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha bajado su incidencia hasta el 4,51%.
3. ↔ Snake Keylogger – Snake es un keylogger .NET modular y un ladrón de credenciales que se detectó por primera vez a finales de noviembre de 2020; su funcionalidad principal es registrar las pulsaciones de los usuarios y transmitir los datos recopilados a los actores de la amenaza. Las infecciones de Snake suponen una gran amenaza para la privacidad y la seguridad en línea de los usuarios, ya que el malware puede robar prácticamente todo tipo de información sensible y es un keylogger especialmente evasivo y persistente. Este keylogger llegó a impactar en el 3,01% de las compañías españolas.

Los sectores más atacados a nivel mundial:

Este mes el sector Educación/Investigación se mantuvo en primer lugar como la industria más atacada a nivel mundial, seguido de Gobierno/Militar y Sanidad.

1. Educación/Investigación
2. Gobierno/Militar
3. Sanidad

Top 3 vulnerabilidades más explotadas en octubre:

1. ↔ “Revelación de información del servidor web Git» – Se ha informado de una vulnerabilidad de revelación de información en el repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.
2. ↔ Ejecución remota de código en Apache Log4j (CVE-2021-44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar un código arbitrario en el sistema afectado.
3. ↔ Inyección de comandos sobre HTTP (CVE-2021-43936, CVE-2022-24086) – Se ha informado de una vulnerabilidad de inyección de comandos sobre HTTP. Un atacante remoto puede aprovechar este problema enviando una solicitud especialmente diseñada a la víctima. Una explotación exitosa permitiría a un ciberdelincuente ejecutar código arbitrario en el equipo de destino.

Top 3 del malware móvil mundial en octubre:

1. Anubis – Anubis es un troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó por primera vez, ha ganado funciones adicionales, incluyendo la capacidad de troyano de acceso remoto (RAT), keylogger, grabación de audio, entre otras. Se ha detectado en cientos de aplicaciones diferentes disponibles en la tienda de Google.
2. Hydra – Hydra es un troyano bancario diseñado para robar credenciales financieras solicitando a las víctimas que habiliten permisos dañinos.
3. Joker – Un spyware para Android presente en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, este malware también puede inscribir a la víctima en servicios premium de pago sin su consentimiento.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

La lista completa de las 10 familias principales de malware en octubre está disponible en el blog de Check Point Software.

. Leer artículo completo en Frikipandi AgentTesla desbanca a Formbook del primer puesto y se revela una nueva vulnerabilidad de Text4Shell.