Vidar, nJRAT resurgen como amenazas de malware prominentes en enero

El veterano troyano bancario Qbot o Qakbot, el ladrón de información de productos básicos Lokibot y el troyano de acceso remoto (RAT) AgentTesla fueron los malware más frecuentes observados durante enero de 2023, según el último informe mensual. Índice de amenazas globales de Check Pointpero las primeras semanas del año también vieron el regreso del malware Vidar infostealer y njRAT luego de una serie de nuevas campañas.

Vidar se observó por primera vez en 2018 y está diseñado para robar credenciales, datos de tarjetas de crédito y otra información de navegadores web y billeteras digitales. Se puede comprar fácilmente en foros clandestinos y se usó notablemente en 2019 como cuentagotas para descargar el ransomware GandCrab.

El reingreso de Vidar al top 10 sigue a un marcado aumento en los casos de robo de marca observados en la telemetría de Check Point. En una campaña observada, Vidar se difundió a través de dominios falsos que parecían estar asociados con AnyDesk, una aplicación de escritorio remoto.

Los operadores de malware utilizaron el secuestro de URL para varias aplicaciones para redirigir a las personas a una sola dirección IP que parecía ser el sitio web oficial de AnyDesk, pero en realidad era un dominio malicioso que alojaba a Vidar. Si está instalado, el malware se hace pasar por un instalador legítimo, pero roba datos en segundo plano.

El troyano njRAT, que es una nueva entrada en el número 10 en la tabla, es otro malware venerable que data de hace 11 años y es capaz de registrar pulsaciones de teclas, acceder a cámaras de dispositivos si están presentes, robar datos, cargar y descargar archivos, realizar procesos y archivos. manipulaciones y visualización de los escritorios de las víctimas.

Por lo general, se propaga a través de ataques de phishing y descargas ocultas, y a menudo se propaga a través de llaves USB o unidades en red infectadas. En la última campaña observada, denominada Earth Bogle, se vio a njRAT extendiéndose entre organizaciones objetivo en el Medio Oriente y África del Norte, con sus señuelos a menudo vinculados a temas geopolíticos.

“Una vez más, estamos viendo grupos de malware que usan marcas confiables para propagar virus, con el objetivo de robar información de identificación personal”, dijo Maya Horowitz, vicepresidenta de investigación de Check Point. “No puedo enfatizar lo suficiente lo importante que es que las personas presten atención a los enlaces en los que hacen clic para asegurarse de que sean URL legítimas. Esté atento al candado de seguridad, que indica un certificado SSL actualizado, y esté atento a cualquier error tipográfico oculto que pueda sugerir que el sitio web es malicioso”.

El top 10 de enero queda de la siguiente manera:

1. Qbot o Qakbot, un troyano bancario que se propaga a través del spam que emplea una serie de técnicas anti-VM, depuración y sandbox para evitar el análisis y la detección.
2. Lokibot, un ladrón de información de productos básicos para Windows y Android que ocasionalmente tiene capacidades de ransomware incorporadas.
3. AgentTesla, una RAT más avanzada que funciona como registrador de teclas y ladrón de información.
4. Formbook, otro ladrón de información que a menudo se vende como servicio debido a sus sólidas técnicas de evasión y su bajo precio.
5. XMRig, un minero de CPU de código abierto implementado para extraer ilícitamente la criptomoneda Monero.
6. Emotet, el siempre popular troyano bancario cum-RAT que sirve ampliamente como precursor de los ataques de ransomware.
7. Vidar.
8. GuLoader, un descargador que puede traer consigo muchos otros ladrones de información y RAT, incluidos AgentTesla y Formbook.
9. Nanocore, una RAT utilizada para captura de pantalla, criptominería, control remoto de escritorio y robo de sesión de cámara web.
10. Y nJRAT.