¿Cuáles son las amenazas informáticas más detectadas en México?

Palabras clave

Contenido patrocinado: 
El 40% de las empresas en Latinoamérica padeció una infección por algún tipo de malware
Autor:
ESET detectó en México 10 amenazas informáticas comunes durante enero y junio de 2019
Código malicioso

Los códigos maliciosos continúan siendo la principal amenaza para las organizaciones y los usuarios. De acuerdo con el ESET Security Report 2019, el 40% de las empresas en Latinoamérica padeció una infección por algún tipo de malware. En el caso de México se detectaron 10 amenazas informáticas comunes durante enero y junio de 2019.

La mayor cantidad de detecciones está relacionada con ProxyChanger con el 12.6%, un código malicioso del tipo troyano escrito en JavaScript, que tiene como función principal impedir al usuario acceder a sitios web, para redirigir el tráfico a otras direcciones IP. El troyano puede redirigir al usuario hacia sitios web de atacantes.

A continuación, se detectó el motet con el 12.2%, una familia de troyanos bancarios conocida por su arquitectura modular, persistencia, y auto propagación (similar a la de los gusanos informáticos). Otra de sus características es su naturaleza polimórfica, ya que busca evadir la detección basada en firmas. Utiliza varios métodos para mantener la persistencia, incluidos servicios y llaves de registro de inicio. Funciona principalmente como un downloader para la distribución de otras familias de troyanos bancarios.

Le sigue Ramnit con el 8.9%, un código malicioso que posee las características de virus y gusano informáticos. Se propaga a través de dispositivos USB y otras unidades extraíbles. Puede infectar el Master Boot Record (MBR) y así garantizar su persistencia en el sistema operativo. Infecta archivos ejecutables y archivos HTM/HTML, lo que aumenta sus capacidades de propagación. Posteriormente, es utilizado para robar datos confidenciales relacionados con servicios bancarios de los usuarios.

Bondat con 8.1%, es un gusano informático escrito en JavaScript que sirve como un vector de infección inicial, ya que descarga otros archivos que pueden realizar diversas acciones maliciosos. Su medio de propagación es a través de medios extraíbles utilizando la técnica LNK, que ejecuta el malware y posteriormente abre el archivo correspondiente, de esta manera busca pasar desapercibido. Posteriormente, Bondat controla los equipos Windows infectados para unirlos a una botnet.

Bundpil (4.0%), es un gusano capaz de propagarse a través de medios extraíbles. Es parte de Wauchos, una de las familias de botnets más grandes, también conocida como Gamarue o Andrómeda. Fue diseñado para mejorar la persistencia de la botnet Wauchos y dificultar la eliminación global de su red. Utiliza DGA (Algoritmo de Generación de Dominio) y puede alterar las solicitudes de Domain Name System (DNS).

Bayrob (1.2%), es un troyano que se propaga mediante archivos adjuntos a través de correos electrónicos. Funciona como un backdoor y se registra como un servicio del sistema, además de modificar registros para asegurar su persistencia. Busca robar información del equipo de la víctima, se comunica mediante el protocolo HTTP con un equipo remoto para descargar archivos maliciosos, utilizar archivos ejecutables, conocer lista de procesos activos, enviar la información recopilada o actualizarse a una nueva versión.

Phorpiex (0.5%) es un gusano que se utiliza principalmente para descargar otro malware o realizar ataques de Denegación de Servicio Distribuidos (DDoS). Se esparce a través de medios extraíbles. Una vez que infecta los equipos, Phorpiex reemplaza con su propia copia archivos legítimos almacenados en servidores Web o en carpetas de servidores FTP con el objetivo de engañar a los usuarios y que ejecuten dichos archivos. Se comunica a través del canal IRC.

La familia CoinMiner (0.5%) agrupa una enorme cantidad de troyanos que tienen como principal actividad el uso de los recursos de hardware de la computadora infectada para minar o extraer criptomonedas. Los troyanos asociados a esta detección también utilizan un backdoor para ser controlados de forma remota.

Spy.Zbot (0.3%) es un troyano que roba información confidencial, principalmente contraseñas. Tiene la característica de funcionar como como backdoor y puede ser controlado de forma remota, por lo que también añade a los equipos comprometidos a una botnet.

Asimismo, dentro del análisis, destacan detecciones asociadas a los métodos de propagación de las amenazas que aparecen con más frecuencia. Tal es el caso de LNK/Agent y Win32/TrojanDownloader.

Agent: Es el nombre de detección para el archivo de extensión LNK creado por el malware. Es un acceso directo a un archivo malicioso, y el hecho de que aparezca en este top de detecciones habla de una de las técnicas de propagación que sigue siendo muy usada por algunas amenazas, la relacionada con dispositivos extraíbles. De hecho, amenazas consideradas en la lista de esta publicación, están relacionadas con el método de propagación de LNK/Agent, tal es el caso del gusano Bondat.

Te interesa leer: ESET descubre 125 fallas de seguridad en routers y dispositivos NAS

TrojanDownloader: El malware del tipo downloader hace referencia a los programas, componentes o funcionalidades maliciosas cuyo propósito (generalmente único), es descargar y ejecutar software malicioso adicional en un sistema infectado.

Se trata de otro de los métodos más utilizados para propagar otro tipo de códigos maliciosos, desde botnets, ransomware, miners o bankers.

Finalmente, dentro de las detecciones se identificaron algunas familias como Win32/Autoit, que hace referencia al malware escrito en Autoit, un lenguaje de scripting utilizado con mayor frecuencia en los últimos años para el desarrollo de códigos maliciosos, detecciones como Win32/VB para referirse a Visual Basic, o bien, Win32/Delf para Delphi.

Teniendo en cuenta las necesidades del mercado nivel global, se lanzó ESET Enterprise Inspector, una herramienta sofisticada de detección y respuesta para endpoints que permite identificar comportamientos anómalos, para analizarlos en tiempo real y brindar una respuesta rápida sobre cómo remediar la situación. Permitiendo a las organizaciones detectar las amenazas persistentes avanzadas, protegerse del ransomware, bloquear las amenazas 0-day, detener los ataques sin archivos, entre otras ventajas.

Contenido relacionado: