Los ciberdelincuentes pueden obtener acceso a los dispositivos infectados, lo que les permite controlar archivos, información almacenada y otros servicios valiosos
Un grupo de investigadores ha identificado una reciente campaña del malware conocido como FakeUpdates, también llamado SocGholish, que ha estado activo desde 2017. Este malware, asociado anteriormente con grupos de cibercrimen rusos como Evil Corp, ha sido utilizado para comprometer sitios web de WordPress con el fin de engañar a los usuarios y llevarlos a descargar troyanos de acceso remoto.
En este nuevo ataque descubierto por los investigadores de Check Point Research el pasado mes de febrero, los ciberdelincuentes utilizan JavaScript para infectar páginas web basadas en WordPress, insertando trampas que inducen a los usuarios a descargar malware en sus sistemas.
La técnica utilizada implica el aprovechamiento de cuentas de administrador wp-admin vulnerables para modificar plugins de WordPress, lo que permite a los atacantes dirigir a los visitantes de los sitios web a descargar troyanos de acceso remoto.
Una vez que los usuarios descargan estos troyanos, los ciberdelincuentes obtienen acceso a los dispositivos infectados, lo que les permite controlar archivos, información almacenada y otros servicios valiosos.
Según los investigadores de Check Point, se cree que este grupo de cibercriminales monetiza el malware vendiendo acceso a los sistemas infectados, lo que puede conducir a más infecciones de malware si se proporciona acceso a múltiples clientes.
Maya Horowitz, vicepresidenta de Investigación en Check Point Software, destacó la importancia de proteger las páginas web contra las ciberamenazas, considerándolas como fundamentales para la presencia online de usuarios y empresas. Horowitz instó a implementar medidas preventivas y adoptar una cultura de tolerancia cero para garantizar una protección absoluta contra las amenazas.
Ataques de ransomware y explotación de vulnerabilidades
El informe del Índice Global de Amenazas de Check Point Research también revela la presencia de alrededor de 200 sitios web de contenido sospechoso dirigidos por grupos de ransomware, que utilizan estas páginas para presionar a las víctimas para que paguen un rescate de forma inmediata.
En estos casos, los ciberdelincuentes han utilizado principalmente el ransomware Lockbit3, seguido por Play y 8base. Además, se identificaron vulnerabilidades explotadas como Web Servers Malicious URL Directory Traversal, Command Injection Over HTTP y Zyxel ZyWALL Command Injection.
Estas vulnerabilidades afectaron a un alto porcentaje de empresas a nivel global, permitiendo a los atacantes acceder a archivos del servidor, ejecutar comandos arbitrarios en los dispositivos y realizar otras acciones maliciosas.
Malware más buscado y en dispositivos móviles
España experimentó una disminución del 7% en los ataques de malware en febrero, pero FakeUpdates, Qbot y Pandora fueron los más buscados. FakeUpdates afectó al 11,9% de las empresas, mientras que Qbot y Pandora se enfocaron en robar credenciales y causar daños económicos, respectivamente.
En dispositivos móviles, Anubis se mantuvo como el malware más utilizado en Android, seguido por AhMyth y Hiddad, que se distribuyen a través de aplicaciones maliciosas para robar información confidencial y realizar acciones maliciosas en los dispositivos afectados.