Qbot, un troyano que roba credenciales e instala ransomware en los equipos infectados, situado entre los 10 malware más buscados

 Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ha publicado su último Índice Global de Amenazas de agosto de 2020. En esta nueva entrega los investigadores de la compañía destacan la posición de liderazgo de Emotet como el malware más buscado. En España, este troyano ha afectado a un 17,18% de las compañías (casi un 4% más que la media global). Asimismo, el troyano Qbot, también conocido como Qakbot y Pinkslipbot, se ha situado por primera vez en los diez primeros puestos del índice de malware (10º posición). 

Qbot, que fue visto por primera vez en 2008, actualidad utiliza técnicas sofisticadas de robo de credenciales e instalación de ransomware, lo que lo convierte en un malware multidisciplinar y multiusos. Además, ahora cuenta con una nueva y peligrosa característica: un módulo especializado en recolección de correos electrónicos que extrae los hilos de emails de Outlook de la víctima y los sube a un servidor remoto externo. Esto permite a Qbot “secuestrar” conversaciones de correo electrónico de usuarios infectados, y luego enviar spam por sí mismo utilizando esos correos electrónicos para incrementar sus posibilidades de engañar a otros usuarios con el fin de que se infecten. También puede habilitar transacciones bancarias no autorizadas, permitiendo a su administrador conectarse al ordenador de la víctima.

Los investigadores de Check Point encontraron varias campañas con la nueva variante de Qbot entre marzo y agosto de 2020, que incluían la distribución de este virus informático a través del troyano Emotet.  Esta campaña impactó al 5% de las empresas a nivel mundial en julio de 2020.

El equipo de investigación de Check Point también advierte que la «Revelación de información del servidor web Git» (47% de las empresas afectadas a nivel mundial) es la vulnerabilidad más frecuentemente explotada por los cibercriminales, seguida de la «Ejecución remota de código MVPower DVR», (43%) y «Dasan GPON Bypass de autentificación del router « (37%).

Los 3 malwares más buscados en España en agosto

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Emotet – Troyano avanzado, autopropagable y modular. Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 17.18% de las empresas españolas.
2. ↑Agent Tesla – Es un RAT avanzado que funciona como un keylogger y un usurpador de contraseñas que ha estado infectando ordenadores desde 2014. AgentTesla es capaz de monitorizar y registrar las teclas marcadas pulsadas por la víctima, el portapapeles del sistema, toma capturas de pantalla y extrae credenciales pertenecientes a una variedad de software instalado en la unidad de la víctima. Esta RAT ha atacado al 4.26% de las empresas en España.
3. ↑ Formbook – Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros de hacking underground por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 4.09% de las empresas en España.

Top 3 vulnerabilidades más explotadas en agosto

1. Revelación de información del servidor web Git – Se ha informado acerca de una vulnerabilidad de divulgación de información en el Repositorio Git. La explotación exitosa de esta vulnerabilidad podría permitir una divulgación involuntaria de la información de la cuenta.
2. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.
3. Dasan GPON Bypass de autentificación del router – Una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La exitosa explotación de esta vulnerabilidad permitiría a los cibercriminales remotos obtener información sensible y acceder sin autorización al sistema afectado.

Top 3 del malware móvil mundial en agosto

1. xHelper –Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación es capaz de evadir los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. Necro – Necro es un troyano para Android con goteo. Puede descargar otro malware, mostrar anuncios intrusivos y robar dinero cobrando suscripciones de pago. 
3. Hiddad – Malware para Android, su función principal es mostrar anuncios. Sin embargo, también puede obtener acceso a los detalles de seguridad clave incorporados en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario. 

El Índice de Impacto Global de Amenazas de Check Point y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud contiene más de 250 millones de direcciones analizadas para descubrir bots, más de 11 millones de firmas de malware y más de 5,5 millones de sitios web infectados, e identifica millones de tipos de malware diariamente.