La vulnerabilidad Log4j es explotada por RATs, botnets, ransomware y APTs

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento Microsegmentación, clave para seguridad empresarial Leer Identificación de ataques web Leer

Avast ha publicado su informe de amenazas del cuarto trimestre de 2021, que revela una explotación inmediata de la vulnerabilidad Log4j, que pone a los departamentos de los CISO bajo presión. Además, los investigadores de amenazas observaron el resurgimiento de la red de bots Emotet y un aumento del 40% de los coinminers, lo que supone un riesgo tanto para los consumidores como para las empresas. Los resultados del cuarto trimestre muestran igualmente un aumento del adware, de las estafas de soporte técnico en los ordenadores de sobremesa, y de las estafas de suscripción, así como del spyware en los dispositivos Android, dirigido a los consumidores.

"Hacia finales de año, la vulnerabilidad Log4j, extremadamente peligrosa, omnipresente y fácil de abusar, hizo sudar a los departamentos de CISO, y con razón, ya que fue utilizada como arma por los atacantes que propagaban desde coinminers hasta bots y ransomware", señala Jakub Kroustek, director de Investigación de Malware de Avast.

La vulnerabilidad en Log4j, una biblioteca de registro de Java, resultó ser extremadamente peligrosa para las empresas debido a la ubicuidad de la biblioteca y la facilidad de explotación. Los investigadores de Avast observaron que coinminers, RATs, bots, ransomware y grupos APT abusaban de esta vulnerabilidad. De hecho, se detectaron varias redes de bots que abusaron de ella, como Miria. La mayoría de los ataques de bots eran sólo sondas que probaban la vulnerabilidad, pero también hubo numerosos intentos de cargar código potencialmente malicioso. Por ejemplo, algunas RAT se propagaron utilizando la vulnerabilidad, como NanoCore, AsyncRat y Orcus. Un ransomware de baja calidad, llamado Khonsari, fue el primer ransomware que los investigadores vieron explotando esta vulnerabilidad.

Además de explotar la vulnerabilidad Log4j para propagar RATs, los ciberdelincuentes aprovecharon la vulnerabilidad CVE-2021-40449 para elevar los permisos de los procesos maliciosos explotando el controlador del kernel de Windows. Los atacantes utilizaron esta vulnerabilidad para descargar y lanzar la RAT MistarySnail. Además, una causa muy importante de las altas detecciones de NanoCore y AsyncRat fue provocada por una campaña maliciosa que abusaba de los proveedores de la nube, Microsoft Azure y Amazon Web Service (AWS). En esta campaña los atacantes de malware utilizaron Azure y AWS como servidores de descarga para sus cargas útiles maliciosas con el objetivo de atacar a las empresas.

Además, los investigadores de Avast vieron cómo los malos actores detrás de Emotet reescribían varias de sus partes, reviviendo su maquinaria, y recuperando el mercado de las botnets gracias a esta última reencarnación de Emotet.

La actividad de adware y rootkit de escritorio aumentó en el cuarto trimestre de 2021. Los investigadores creen que estas tendencias están relacionadas con el rootkit Cerbu, que puede secuestrar las páginas de inicio de los navegadores y redirigir las URL de los sitios según la configuración del rootkit. Por otra parte, mientras el precio del Bitcoin subía a finales de 2021, el número de coinminers que se propagaban aumentó un 40%, a menudo a través de páginas web infectadas y software pirata. CoinHelper fue uno de los coinminers más activos, el cual sigue extendiéndose activamente, con la capacidad de minar ~0,474 XMR cada día.

Los investigadores de amenazas de Avast también han observado un aumento de las estafas de soporte técnico, que engañan al usuario haciéndole creer que tiene un problema técnico, induciendo le a llamar a una línea de atención telefónica en la que le estafan para que pague altas tarifas de soporte o les conceda acceso remoto a su sistema.

En lo que respecta a amenazas móviles, estacan dos: Ultima SMS y Facestealer. Ultima SMS, una estafa de suscripción a SMS premium resurgió en los últimos meses. En octubre, las aplicaciones de Ultima SMS estaban disponibles en la Play Store, imitando aplicaciones y juegos legítimos, que, una vez descargadas, pedían a los usuarios que introdujeran su número de teléfono para acceder a la aplicación. Posteriormente, los usuarios se suscribían a un servicio de SMS premium que podía costar hasta 10 dólares a la semana. Los responsables de UltimaSMS utilizaron las redes sociales para publicitar sus aplicaciones y consiguieron más de 10 millones de descargas.

Por otro lado, Facestealer, un programa espía diseñado para robar las credenciales de Facebook, reapareció en múltiples ocasiones en el cuarto trimestre de 2021. El malware se hace pasar por editores de fotos, horóscopos, aplicaciones de fitness y otras. Después de utilizar la aplicación durante un tiempo, esta pide al usuario que inicie sesión en Facebook para poder seguir utilizándola sin anuncios.