La convergencia de malware comercial y tácticas avanzadas en ciberataques complejos

Según el Índice Global de Amenazas de Check Point Research del pasado mes de abril, FakeUpdates continúa encabezando el listado de familias de malware con más afección en España, habiendo “impactado en el 11% de las empresas en España”. Por detrás está el botnet Androxgh0st, que ataca tanto a Windows como a Mac y Linux, con el 3,5% de las empresas; y Remcos, un troyano de acceso remoto distribuido en documentos maliciosos de Microsoft Office y que afectó al 2,6% de las empresas.

En móviles, los tres principales malware fueron Anubis, AhMyth e Hydra. Los sectores más atacados en España fueron Gobierno y militar, bienes y servicios de consumo y telecomunicaciones. Los grupos de ransomware más activos fueron Akira, activo desde principios de 2023, el recién llegado SatanLock y Qilin, que ofrece una plataforma de ransomware as a service.

Más allá de estos datos, destaca la campaña de malware en múltiples etapas descrita por la compañía, que infecta con AgentTesla, Remcos y Xloader. Empieza con phishing por email, con un archivo 7-Zip malicioso que contiene un archivo JScript codificado. Éste “lanza un script PowerShell codificado en Base64, el cual ejecuta un ejecutable de segunda etapa basado en .NET o AutoIt”. En la fase final, el malware se inyecta en procesos legítimos de Windows, como RegAsm.exe o RegSvcs.exe, para evitar su detección.

Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software, señala que “esta última campaña ejemplifica la creciente complejidad de las ciberamenazas. Los atacantes están superponiendo scripts codificados, procesos legítimos y cadenas de ejecución oscuras para mantenerse indetectables. Lo que antes considerábamos malware de bajo nivel ahora se convierte en armas en operaciones avanzadas”.