Tras cinco meses de ausencia, el troyano Emotet vuelve a liderar el ranking de los tres malwares más buscados en España en el mes de julio, tal y como revela el último Índice Global de Amenazas, correspondiente a dicho mes, y publicado por Check Point Research. Este virus informático ha afectado al 5% de las empresas de todo el mundo y al 14,15% de las compañías en España, lo que supone un impacto casi 3 veces mayor que la media global.
Las actividades maliciosas de Emotet (principalmente el envío de campañas masivas de malspam) empezaron a reducirse a partir de febrero del 2020 hasta que finalmente se paralizaron. Sin embargo, los expertos de Check Point han detectado que en el pasado mes se produjeron nuevas campañas de difusión de Emotet. En 2019 también se observó un patrón de comportamiento parecido, ya que este malware detuvo su actividad durante los meses de verano, pero volvió a reanudarse en septiembre.
Durante julio de este año, los ciberdelincuentes han estado utilizando este troyano para propagar campañas de malspam e infectar a las víctimas con virus informáticos como Trickbot y Qbot, que se usan para robar credenciales bancarias y difundirlas a través de las redes.
Algunas de estas campañas incluían archivos .doc maliciosos con nombres como "form.doc" o "invoice.doc". Según los investigadores de la compañía, estos archivos infectados lanzan un PowerShell para extraer el binario de Emotet de las páginas web en remoto para infectar a los equipos, haciendo que pasen a formar parte de la botnet. La vuelta a la actividad de Emotet refleja su capacidad para infectar redes a nivel mundial.
"Es interesante que Emotet estuviera inactivo durante varios meses a principios de este año, repitiendo un patrón que observamos por primera vez en 2019. Como consecuencia, es posible asumir que los desarrolladores detrás de esta botnet estaban actualizando sus características y capacidades", explica Maya Horowitz, directora del Grupo de Inteligencia e Investigación de Amenazas y Productos de Check Point.
"El hecho de que vuelva a estar activa implica que las empresas deben enseñar a sus empleados las claves para detectar los tipos de malspam que conllevan estas amenazas, así como advertirles sobre los riesgos de abrir los archivos adjuntos de los correos electrónicos o hacer clic en los enlaces de fuentes externas. Todo esto, además, debe ir acompañado del despliegue de soluciones antimalware que puedan evitar que este tipo de contenido llegue a los usuarios", añade Horowitz.
Los 3 malwares más buscados en España en julio:
Según revela el Índice Global de Amenazas de Check Point Research, los tres malwares más buscados en España durante el mes de julio fueron:
- ↑Emotet – Es un troyano avanzado, autopropagable y modular que destaca por utilizar múltiples métodos y técnicas de evasión para evitar ser detectado. Anteriormente, Emotet funcionaba como un troyano bancario, pero ha evolucionado para emplearse como distribuidor de otros programas o campañas maliciosas. Además, puede difundirse a través de campañas de spam en archivos adjuntos o enlace maliciosos en correos electrónicos. Este malware ha afectado a un 14,15% de las empresas españolas durante el pasado mes de julio.
- ↑Agent Tesla – Es un RAT avanzad que funciona como un keylogger y un usurpador de contraseñas que ha estado infectando ordenadores desde 2014. AgentTesla es capaz de monitorizar y registrar las teclas pulsadas por la víctima, el portapapeles del sistema, toma capturas de pantalla y extraer credenciales pertenecientes a una variedad de software instalado en la unidad de la víctima (incluyendo Google Chrome, Mozilla Firefox y el cliente de correo electrónico Microsoft Outlook). El pasado mes de julio, esta RAT ha atacado al 6,31% de las empresas en España.
- ↓XMRIg – Es un cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017 y, durante julio del 2020, atacó al 5,23% de las empresas en España.
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.
Por otra parte, este Índice Global de Amenazas también muestra cuáles han sido las tres vulnerabilidades más explotadas por los cibercriminales y los tres malware móvil más difundidos durante el pasado mes de julio.
Top 3 vulnerabilidades más explotadas en julio
- Ejecución de código en remoto de MVPower DVR - Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante remoto puede explotar esta debilidad para ejecutar código arbitrario en el router afectado a través de una petición hecha a medida.
- Revelación de información a través de Heartbeat en OpenSSL TLS DTLS (CVE-2014-0160; CVE-2014-0346) - Existe un fallo en la divulgación de información en OpenSSL. La vulnerabilidad se debe a un error al manejar paquetes TLS/DTLS Heartbeat. Un ciberdelincuente puede aprovechar este error para robar contenidos de la memoria o del servidor de un cliente conectado.
- Inyección de comandos sobre HTTP - Un atacante remoto puede explotar una vulnerabilidad de Inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría a un atacante ejecutar código arbitrario en el equipo de un usuario.
Top 3 del malware móvil mundial en julio
- xHelper –Aplicación Androidmaliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza paradescargar otras aplicaciones maliciosas y mostrar anuncios. La aplicación escapaz de evadir los programas antivirus móviles, así como reinstalarse por símisma en caso de que el usuario la elimine.
- Necro – Necro es un troyano para Android con goteo. Puede descargar otro malware,mostrar anuncios intrusivos y robar dinero cobrando suscripciones de pago.
- PreAmo - Es un malware que imita al usuario haciendo clic en los banners recuperadosde tres agencias: Presage, Admob y Mopub.