El popular servicio de antivirus, Avast, ha publicado su típico informe de amenazas perteneciente al cuarto trimestre del año pasado, el cual desvela un mes de diciembre cargado de vulnerabilidades provocadas por parte de coinminers, RATs, botnets, ransomware y APTs. Lógicamente esto ha puesto a los departamentos CISO bajo presión. Y ahí no queda la cosa ya que los expertos de Avast detectaron un incremento de los bots Emotet y un aumento de hasta el 40% de los coinmakers, lo que supone un riesgo tanto para los consumidores como para las empresas. También se observa un aumento del adware, de las estafas de soporte técnico en los ordenadores de sobremesa, y de las estafas de suscripción, así como del spyware en los dispositivos Android, dirigido a los consumidores. Al mismo tiempo, Avast ha detectado menos actividad de ransomware y de troyanos de acceso remoto (RAT).
«Hacia finales de año, la vulnerabilidad Log4j, extremadamente peligrosa, omnipresente y fácil de abusar, hizo sudar a los departamentos de CISO, y con razón, ya que fue utilizada como arma por los atacantes que propagaban desde coinminers hasta bots y ransomware», señala Jakub Kroustek, director de Investigación de Malware de Avast.
«Por otro lado, nos complace informar de la disminución de los ataques de RAT, robos de información y ransomware. La actividad de los RAT se redujo gracias a las vacaciones de Navidad. Aun así, los autores del malware que se encuentran detrás de la herramienta de acceso remoto DcRat llegaron incluso a renombrar su RAT como «SantaRat». También hemos observado un ligero descenso en la actividad de robos de información, probablemente debido a una importante disminución de las infecciones a través de Fareit, un ladrón de contraseñas e información, que se redujeron en un 61% con respecto al trimestre anterior», señaló Jakub Kroustek.
«Los estragos que causó el ransomware en los tres primeros trimestres de 2021 desencadenaron una cooperación coordinada de las naciones, las agencias gubernamentales y los proveedores de seguridad para perseguir a los autores y operadores de ransomware, y creemos que todo esto resultó en una disminución significativa de los ataques de ransomware en el cuarto trimestre de 2021. El índice de riesgo de ransomware se redujo en un impresionante 28% en comparación con el tercer trimestre de 2021. Esperamos ver una continuación de esta tendencia en el T1/2022, pero también estamos preparados para lo contrario», añadió.
Los ciberdelincuentes atacan a las empresas a través de la vulnerabilidad Log4j y mediante RATs que abusan de Azure y AWS
La vulnerabilidad en Log4j, una biblioteca de registro de Java, resultó ser extremadamente peligrosa para las empresas debido a la ubicuidad de la biblioteca y la facilidad de explotación. Los investigadores de Avast observaron que coinminers, RATs, bots, ransomware y grupos APT abusaban de esta vulnerabilidad. De hecho, se detectaron varias redes de bots que abusaron de ella, como la red de bots Miria. La mayoría de los ataques de bots eran sólo sondas que probaban la vulnerabilidad, pero Avast también observó numerosos intentos de cargar código potencialmente malicioso. Por ejemplo, algunas RAT se propagaron utilizando la vulnerabilidad, siendo las más frecuentes NanoCore, AsyncRat y Orcus. Un ransomware de baja calidad, llamado Khonsari, fue el primer ransomware que los investigadores vieron explotando esta vulnerabilidad.
Además de explotar la vulnerabilidad Log4j para propagar RATs, los ciberdelincuentes aprovecharon la vulnerabilidad CVE-2021-40449 para elevar los permisos de los procesos maliciosos explotando el controlador del kernel de Windows. Los atacantes utilizaron esta vulnerabilidad para descargar y lanzar la RAT MistarySnail. Además, una causa muy importante de las altas detecciones de NanoCore y AsyncRat fue provocada por una campaña maliciosa que abusaba de los proveedores de la nube, Microsoft Azure y Amazon Web Service (AWS). En esta campaña los atacantes de malware utilizaron Azure y AWS como servidores de descarga para sus cargas útiles maliciosas con el objetivo de atacar a las empresas.
Además, los investigadores de Avast vieron cómo los malos actores detrás de Emotet reescribían varias de sus partes, reviviendo su maquinaria, y recuperando el mercado de las botnets gracias a esta última reencarnación de Emotet.
Adware, Coinminers y estafas de soporte técnico dirigidas a los consumidores
La actividad de adware y rootkit de escritorio aumentó en el cuarto trimestre de 2021. Los investigadores de Avast creen que estas tendencias están relacionadas con el rootkit Cerbu, que puede secuestrar las páginas de inicio de los navegadores y redirigir las URL de los sitios según la configuración del rootkit. Por lo tanto, Cerbu puede desplegarse y configurarse fácilmente como adware, molestando a las víctimas con anuncios no deseados y pudiendo agregar una puerta trasera a sus dispositivos.
Mientras el precio del Bitcoin subía a finales de 2021, el número de coinminers que se propagaban aumentó un 40%, a menudo a través de páginas web infectadas y software pirata. CoinHelper fue uno de los coinminers más activos a lo largo del cuarto trimestre de 2021, dirigido principalmente a usuarios de Rusia y Ucrania. Los Coinminers abusan sigilosamente de la potencia de cálculo del usuario para minar criptomonedas, lo que puede traducirse en elevadas facturas de electricidad y afectar a la vida útil del hardware del usuario.
Además, CoinHelper recopila información diversa sobre sus víctimas, como su geolocalización, la solución antivirus que tienen instalada y el hardware que utilizan. A pesar de observar múltiples criptomonedas configuradas para ser minadas, incluyendo Ethereum y Bitcoin, fue Monero la que destacó particularmente para los investigadores de Avast. Monero está diseñada para ser anónima, sin embargo, el uso incorrecto de las direcciones y la mecánica de cómo funcionan los grupos de minería, permitió a los investigadores obtener una visión más profunda de la operación de los autores del malware de minería de Monero. Descubrieron que la ganancia monetaria total del CoinHelper coinminer era de 339.694,86 dólares a partir del 29 de noviembre de 2021. En el mes de diciembre, se minó un adicional de ~15.162 XMR, ~3.446,03 dólares. CoinHelper sigue extendiéndose activamente, con la capacidad de minar ~0,474 XMR cada día.
Los investigadores de amenazas de Avast también han observado un aumento de las estafas de soporte técnico, que engañan al usuario haciéndole creer que tiene un problema técnico, induciendole a llamar a una línea de atención telefónica en la que le estafan para que pague altas tarifas de soporte o les conceda acceso remoto a su sistema.
Las estafas de suscripción a SMS Premium y el software espía que roba las credenciales de Facebook se extienden entre los dispositivos móviles
Los Laboratorios de Amenazas de Avast han señalado dos amenazas móviles en el informe: Ultima SMS y Facestealer. Ultima SMS, una estafa de suscripción a SMS premium resurgió en los últimos meses. En octubre, las aplicaciones de Ultima SMS estaban disponibles en la Play Store, imitando aplicaciones y juegos legítimos, a menudo con anuncios atractivos. Una vez descargadas, pedían a los usuarios que introdujeran su número de teléfono para acceder a la aplicación. Posteriormente, los usuarios se suscribían a un servicio de SMS premium que podía costar hasta 10 dólares a la semana. Los responsables de UltimaSMS utilizaron las redes sociales para publicitar sus aplicaciones y consiguieron más de 10 millones de descargas.
Por otro lado, Facestealer, un programa espía diseñado para robar las credenciales de Facebook, reapareció en múltiples ocasiones en el cuarto trimestre de 2021. El malware se hace pasar por editores de fotos, horóscopos, aplicaciones de fitness y otras. Después de utilizar la aplicación durante un tiempo, esta pide al usuario que inicie sesión en Facebook para poder seguir utilizandola sin anuncios.