La empresa de ciberseguridad Check Point ha elaborado una lista de las cepas de malware más frecuentes.
Los usuarios de Android son los más atacados por Anubis. Este troyano bancario ha evolucionado para incluir capacidades ofensivas avanzadas.
Puede interceptar contraseñas de un solo uso enviadas a través de mensajes SMS y eludir la autenticación multifactor (MFA), registrar las entradas del usuario, grabar audio y realizar funciones de ransomware.
Además, Anubis incluye funciones de troyano de acceso remoto (RAT), lo que permite una amplia vigilancia y control de los sistemas infectados.
«A menudo se distribuye a través de aplicaciones maliciosas en Google Play Store y se ha convertido en una de las familias de malware móvil más frecuentes«, dijeron los investigadores de Check Point.
Varios grupos abusan del código de Anubis, ya que ahora está disponible de forma gratuita y es de código abierto. Los usuarios deben tener cuidado con el phishing a través de correos electrónicos, SMS y sitios web y evitar la descarga de aplicaciones.
La segunda mayor amenaza para los usuarios de Android es otro troyano de acceso remoto (RAT) llamado AhMyth. Por lo general, se disfraza de grabadores de pantalla, juegos, herramientas de criptomonedas u otras aplicaciones legítimas.
«Una vez instalado, obtiene amplios permisos para persistir después del reinicio y extraer información confidencial, como credenciales bancarias, detalles de billeteras de criptomonedas, códigos de autenticación multifactor (MFA) y contraseñas. AhMyth también permite el registro de teclas, la captura de pantalla, el acceso a la cámara y al micrófono y la interceptación de SMS, lo que lo convierte en una herramienta versátil para el robo de datos y otras actividades maliciosas«, dijo Check Point.
El tercer malware para Android más frecuente es Necro, un descargador de Android que recupera y ejecuta componentes dañinos en dispositivos infectados según los comandos de los piratas informáticos. Varias aplicaciones populares en Google Play han sido infectadas con él. El malware a menudo se difunde a través de plataformas de terceros no oficiales con versiones modificadas de Spotify, WhatsApp, Minecraft u otras aplicaciones.
«Necro puede descargar módulos peligrosos a los teléfonos inteligentes, lo que permite acciones como mostrar y hacer clic en anuncios invisibles, descargar archivos ejecutables e instalar aplicaciones de terceros. También puede abrir ventanas ocultas para ejecutar JavaScript, lo que potencialmente suscribe a los usuarios a servicios pagos no deseados«, advierte Check Point.
«Además, Necro puede redirigir el tráfico de Internet a través de dispositivos comprometidos, convirtiéndolos en parte de una red de bots proxy para cibercriminales«.
Los usuarios de Android nunca deben permitir que las aplicaciones desactiven la seguridad de Google Play Protect y evitar las aplicaciones de terceros.
PCs atacadas por FakeUpdates
El malware más frecuente este año es FakeUpdates, también conocido como SocGholish. Afectó al 4% de las organizaciones en todo el mundo. Esta cepa está asociada con el actor de amenazas ruso Evil Corp.
FakeUpdates es un malware de descarga utilizado por los piratas informáticos para iniciar una infección y entregar cargas útiles secundarias.
Se propaga a través de descargas automáticas (no intencionales) en sitios web comprometidos o maliciosos, lo que incita a los usuarios a instalar una actualización falsa del navegador.
«FakeUpdates sigue representando una amenaza importante en el panorama cibernético, desempeñando un papel crucial en la facilitación de los ataques de ransomware«, se lee en el informe.
Las otras dos cepas de malware más dominantes, Formbook y Remcos, afectaron al 3% de las organizaciones en todo el mundo cada una.
Formbook es un malware de robo de información que se dirige principalmente a los sistemas Windows y puede recolectar credenciales de varios navegadores web, recopilar capturas de pantalla y monitorear y registrar las pulsaciones de teclas. El malware puede descargar y ejecutar cargas útiles adicionales. Formbook se propaga a través de campañas de phishing, archivos adjuntos de correo electrónico maliciosos y sitios web comprometidos, a menudo disfrazados de archivos legítimos.
Remcos es un troyano de acceso remoto que se distribuye a menudo a través de documentos maliciosos en campañas de phishing. Está diseñado para eludir los mecanismos de seguridad de Windows y ejecutar malware con privilegios elevados, lo que lo convierte en una herramienta versátil para los actores de amenazas.
Androxgh0st ocupa el cuarto lugar. Este malware basado en Python se dirige a las aplicaciones que utilizan el marco PHP de Laravel escaneando los archivos .env expuestos para las credenciales de inicio de sesión. Una vez que se obtiene el acceso, los atacantes pueden implementar malware adicional, establecer conexiones de puerta trasera y explotar los recursos de la nube para actividades como la minería de criptomonedas.
Otras cepas de malware predominantes incluyen el troyano AsyncRat, SnakeKeylogger, la botnet Phorpiex, la extensión de navegador maliciosa Rilide, la botnet Amadey y el troyano AgentTesla.
Fuente y redacción: underc0de.org
