Skip to content
Guapacho.com

Descubren cadena de infección que utiliza páginas CAPTCHA falsas para distribuir el malware Lumma Stealer

14 noviembre, 2024

Los infostealers van en aumento a medida que los ciberdelincuentes aprovechan nuevos vectores de ataque

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de octubre de 2024. El informe destaca una tendencia en el panorama de la ciberseguridad: el aumento de los infostealers y la sofisticación de los métodos de ataque empleados por los ciberdelincuentes.

Este mes, los investigadores han descubierto una cadena de infección en la que se utilizan páginas CAPTCHA falsas para distribuir el malware Lumma Stealer, que ha alcanzado el cuarto lugar en el ranking mensual de los malware más activos. Esta campaña destaca por su alcance global, ya que afecta a varios países a través de dos vectores de infección principales: uno que involucra URLs de descarga de juegos maliciosos y otro a través de emails de phishing dirigidos a usuarios de GitHub, como un nuevo formato de vector de ataque. El proceso de infección engaña a las víctimas para que ejecuten un script malicioso que se copia en su portapapeles.

El aumento de los infostealers y la sofisticación de los métodos de ataque empleados por los ciberdelincuentes, es una realidad en crecimiento”, afirma Manuel Rodríguez, Gerente de Ingeniería para NOLA en Check Point Software.

En el ámbito del malware móvil, la nueva versión de Necro ha surgido como una amenaza importante y ocupa ya el segundo lugar entre los malwares móviles. Necro ha infectado varias aplicaciones populares, incluidas modificaciones de juegos disponibles en Google Play, con una audiencia acumulada de más de 11 millones de dispositivos Android. Este malware emplea técnicas de confusión para evadir su detección y utiliza esteganografía, que es la práctica de ocultar información dentro de otro mensaje u objeto físico para camuflar sus cargas maliciosas. Una vez activado, puede mostrar anuncios en ventanas invisibles, interactuar con ellos e incluso suscribir a las víctimas a servicios de pago, lo que subraya la evolución de las tácticas que los atacantes utilizan para monetizar sus operaciones.

 Los ciberdelincuentes están evolucionando sus métodos y aprovechando vectores de ataque innovadores. Las empresas deben ir más allá de las defensas tradicionales, adoptando medidas de seguridad proactivas y adaptativas que anticipen amenazas emergentes para contrarrestar estos desafíos persistentes de manera efectiva”, afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware en Colombia

*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

  1. Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en octubre en un 14.85% a las empresas en Colombia y en 1.77 % a las compañías en el mundo.
  2. ↑ AsyncRAt . AsyncRAT es un troyano dirigido a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado. Este malware ha atacado en octubre al 9.09% de las empresas en Colombia y al 1.81% en el mundo.
  3. Lumma – Lumma, también conocido como LummaC2, es un malware de robo de información vinculado a Rusia que opera como plataforma de Malware-as-a-Service (MaaS) desde 2022. Este malware, descubierto a mediados de 2022, está en continua evolución y se distribuye activamente en foros en ruso. Como típico ladrón de información, LummaC2 se centra en recopilar diversos datos de los sistemas infectados, incluidas las credenciales del navegador y la información de las cuentas de criptomonedas. Este malware ha impactado en un 7.27% a las compañías en Colombia y en un 2.56% a las empresas en el mundo.

Vulnerabilidades más explotadas

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe una vulnerabilidad de travesía de directorios en diferentes servidores web. La vulnerabilidad se debe a un error de validación de entrada en un servidor web que no desinfecta correctamente la URI para los patrones de travesía de directorios. La explotación exitosa permite a atacantes remotos no autenticados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
  2. ↓ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.
  3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa de esta vulnerabilidad permitiría a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.

Los tres malware móviles más usados en octubre

El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Necro y Anubis.

  1. ↔ Joker – un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.
  2. ↑ Necro – es un troyano dropper de Android. Es capaz de descargar otro malware, mostrar anuncios intrusivos y robar dinero mediante el cobro de suscripciones de pago.
  3. ↓ Anubis – es un malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

Los sectores más atacados globalmente:

En octubre los sectores más atacados fueron educación e investigación, seguidos por Gobierno/Militar y en el tercer rubro por comunicaciones.

  1. Educación/Investigación
  2. Gobierno/Militar
  3. Comunicaciones

Principales grupos de ransomware

Los datos se basan en los «shame sites» de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 17% de los ataques publicados, seguido de Play con un 10% y Meow con un 5%.

  1. RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada de Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia. Ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
  2. Play – Play Ransomwaretambién conocido como PlayCrypt, es un grupo de ransomware que surgió por primera vez en junio de 2022. Se ha dirigido a un amplio espectro de empresas e infraestructuras críticas en América del Norte, América del Sur y Europa y ha afectado aproximadamente a 300 entidades para octubre de 2023. Play Ransomware suele obtener acceso a redes a través de cuentas válidas comprometidas o mediante la explotación de vulnerabilidades no parcheadas, como las de los Fortinet SSL VPN. Una vez dentro, emplea técnicas como el uso de binarios de «living-off-the-land» (LOLBins) para tareas como la exfiltración de datos y el robo de credenciales.
  3. Meow – Meow Ransomware es una variante basada en el ransomware Conti, conocida por cifrar una amplia gama de archivos en sistemas comprometidos y añadirles la extensión «.MEOW». Deja una nota de rescate llamada «readme.txt», que indica a las víctimas que se pongan en contacto con los atacantes por correo electrónico o Telegram para negociar el pago del rescate. El ransomware Meow se propaga a través de varios vectores, incluyendo configuraciones RDP desprotegidas, spam de correo electrónico y descargas maliciosas, y utiliza el algoritmo de cifrado ChaCha20 para bloquear archivos, excluyendo «.exe» y archivos de texto.