El troyano IcedID ya afecta al 11% de las empresas mundiales y entra por primera vez en el índice elaborado por la empresa de ciberseguridad Check Point, que lo ha situado en segundo lugar, tras el ‘malware’ Dridex, que fue el más activo en marzo de 2021.

IcedID fue detectado por primera vez en 2017 y se ha propagado rápidamente en marzo a través de campañas de spam por correo electrónico, una de las cuales utilizaba el covid-19 para atraer víctimas y que éstas abrieran los documentos Word adjuntos, que ocultaban un programa de instalación del ‘malware’.

Una vez instalado, intenta robar los datos de las cuentas, credenciales de pago y otra información sensible de los ordenadores de los usuarios, y también usa otros programas maliciosos para proliferar, y como etapa de infección inicial en operaciones de ransomware.

«IcedID existe desde hace unos años, pero su uso se ha generalizado desde hace poco, lo que demuestra que los ciberdelincuentes siguen adaptando sus técnicas para explotar compañías, utilizando la pandemia como excusa», explica la directora de Inteligencia e Investigación de Amenazas y Productos en Check Point, Maya Horowitz.

«Es un troyano particularmente evasivo que utiliza diversas técnicas para robar datos financieros, por lo que las empresas deben asegurarse de tener sistemas de seguridad robustos para evitar que sus redes se vean comprometidas y minimizar los riesgos. La formación integral de todos los empleados es crucial, para que estén equipados con las habilidades necesarias para identificar los tipos de correos electrónicos maliciosos que propagan IcedID y otros malware», añade.

» Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)” es el virus más activo y afectó al 45% de las compañías en todo el mundo. «Dasan «MVPower DVR Remote Code Execution» atacó a más del 44%. «Dasan GPON Router Authentication Bypass» ocupa el tercer lugar en la lista, afectando al 44% de las empresas.

Los 3 malwares más buscados en España en marzo:

1. QBot –también conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008, diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. Este troyano atacó al 9.80% de las empresas en España.
2. IcedID – troyano bancario que apareció por primera vez en septiembre de 2017. Suele utilizar otros troyanos bancarios conocidos para propagarse, como Emotet, Ursnif y Trickbot. IcedID roba los datos financieros de los usuarios a través de ataques de redirección (instala un proxy local para redirigir a los usuarios a sitios falsos) y realiza ataques de inyección web (inyecta un proceso del navegador para presentar contenido falso superpuesto a la página original). Este troyano ha llegado a afectar al 7.09% de las compañías en España.
3. XMRig – Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4.68% de las empresas españolas.

Top 3 vulnerabilidades más explotadas en marzo

1. Inyección de comandos sobre HTTP – un atacante en remoto puede explotar una vulnerabilidad de inyección de comandos sobre HTTP enviando a la víctima una petición especialmente diseñada. En caso de tener éxito, esta explotación permitiría al atacante ejecutar código arbitrario en el equipo del usuario.
2. Ejecución de código en remoto de MVPower DVR – se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Esta vulnerabilidad puede explotarse en remoto para ejecutar código arbitrario en el router.
3. Bypass de autentificación del router Dasan GPON – una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder sin autorización al sistema afectado en remoto.

Top 3 del malware móvil mundial en marzo

1. Hiddad – es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.
2. xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FurBall – es un MRAT (troyano de acceso remoto móvil) para Android que es desplegado por APT-C-50, un grupo APT iraní conectado con el Gobierno del país. Este malware fue utilizado en múltiples campañas que comenzaron en 2017, y sigue activo en la actualidad. Las capacidades de FurBall incluyen el robo de mensajes SMS, registros de llamadas, grabación de sonido y llamadas, recopilación de archivos multimedia, seguimiento de la ubicación de los usuarios, entre otras.