Diez amenazas informáticas más detectadas en México

Redacción25/09/2019

4 minutos de lectura

ESET analiza y presenta el malware con mayores niveles de detección en México durante el primer semestre de 2019 para comprender el escenario actual de la actividad maliciosa, así como un resumen de las principales detecciones relacionadas con la propagación de los códigos maliciosos y las relacionadas con lenguajes de programación utilizados para el desarrollo de malware.

Principales características de las amenazas identificadas

JS/ProxyChanger. La mayor cantidad de detecciones está relacionada con este código malicioso del tipo troyano escrito en JavaScript, su función principal es impedir al usuario acceder a sitios web, para redirigir el tráfico a otras direcciones IP. El troyano puede redirigir al usuario hacia sitios web de atacantes.

Win32/motet. Familia de troyanos bancarios conocida por su arquitectura modular, persistencia, y auto propagación (similar a la de los gusanos informáticos). Busca evadir la detección basada en firmas. Utiliza varios métodos para mantener la persistencia, incluidos servicios y llaves de registro de inicio. Funciona principalmente como un downloader para la distribución de otras familias de troyanos bancarios.

Win32/Ramnit. Código malicioso que posee las características de virus y gusano informáticos. Se propaga a través de dispositivos USB y otras unidades extraíbles. Puede infectar el Master Boot Record (MBR) para garantizar su persistencia en el sistema operativo. Infecta archivos ejecutables y archivos HTM/HTML, lo que aumenta sus capacidades de propagación. Es utilizado para robar datos confidenciales relacionados con servicios bancarios de los usuarios.

JS/Bondat. Gusano informático escrito en JavaScript que sirve como un vector de infección inicial, ya que descarga otros archivos que pueden realizar diversas acciones maliciosos. Se propaga a través de medios extraíbles utilizando la técnica LNK. El método LNK ejecuta el malware y posteriormente abre el archivo correspondiente, de esta manera busca pasar desapercibido. Controla los equipos Windows infectados para unirlos a una botnet.

Win32/Bundpil. Gusano capaz de propagarse a través de medios extraíbles. Es parte de Wauchos, una de las familias de botnets más grandes, también conocida como Gamarue o Andrómeda. Diseñado para mejorar la persistencia de la botnet Wauchos y dificultar la eliminación global de su red. Utiliza DGA (Algoritmo de Generación de Dominio) y puede alterar las solicitudes de Domain Name System (DNS).

Win32/Qbot. Botnet orientada al robo de credenciales, algunas de las variantes se enfocan en datos bancarios e intercepción de transacciones financieras. Se instala como una puerta trasera y puede ser controlada de manera remota, ya que los equipos comprometidos se conectan a un servidor de comando y control (C&C), es decir, forman parte de una botnet. Algunas actualizaciones cuentan con un código polimórfico, lo que dificulta su detección. Apunta a organizaciones públicas como departamentos de policía, hospitales y universidades.

Win32/Bayrob. Troyano, se propaga mediante archivos adjuntos a través de correos electrónicos. Funciona como un backdoor y se registra como un servicio del sistema, además de modificar registros para asegurar su persistencia. Busca robar información del equipo como datos de tarjetas de crédito y credenciales del sistema de banca en línea. Se comunica mediante el protocolo HTTP con un equipo remoto para descargar archivos maliciosos, utilizar archivos ejecutables, conocer lista de procesos activos, enviar la información recopilada o actualizarse a una nueva versión.

Win32/Phorpiex. Gusano utilizado principalmente para descargar otro malware o realizar ataques de denegación de servicio distribuidos (DDoS). Se esparce a través de medios extraíbles. Phorpiex reemplaza con su propia copia archivos legítimos almacenados en servidores Web o en carpetas de servidores FTP con el objetivo de engañar a los usuarios y que ejecuten dichos archivos. Se comunica a través del canal IRC.

Win32/CoinMiner. Esta familia agrupa una enorme cantidad de troyanos que tienen como principal actividad el uso de los recursos de hardware de la computadora infectada para minar o extraer criptomonedas. Los troyanos asociados a esta detección también utilizan un backdoor para ser controlados de forma remota.

Win32/Spy.Zbot. Troyano que roba información confidencial, principalmente contraseñas. Funciona como backdoor y puede ser controlado de forma remota, por lo que también añade a los equipos comprometidos a una botnet.

Asimismo, dentro del análisis, destacan detecciones asociadas a los métodos de propagación de las amenazas que aparecen con más frecuencia. Tal es el caso de LNK/Agent y Win32/TrojanDownloader.

Sobre LNK/Agent la firma mencionó que es el nombre de detección para el archivo de extensión LNK creado por el malware. El archivo es un acceso directo a un archivo malicioso, una de las técnicas de propagación que sigue siendo muy usada por algunas amenazas, la relacionada con dispositivos extraíbles, tal es el caso del gusano Bondat.

En cuanto a Win32/TrojanDownloader, indicó que es un malware del tipo downloader que hace referencia a los programas, componentes o funcionalidades maliciosas cuyo propósito (generalmente único), es descargar y ejecutar software malicioso adicional en un sistema infectado. Es otro de los métodos más utilizados para propagar códigos maliciosos, desde botnets, ransomware, miners o bankers.

Teniendo en cuenta las necesidades del mercado nivel global, este año se lanzó Enterprise Inspector una herramienta de detección y respuesta para endpoints que permite identificar comportamientos anómalos, para analizarlos en tiempo real y brindar una respuesta sobre cómo remediar la situación. Permitiendo a las organizaciones detectar las amenazas persistentes avanzadas, protegerse del ransomware, bloquear las amenazas 0-day, detener los ataques sin archivos, entre otras ventajas.

[email protected]