El informe de software malicioso del primer trimestre de 2020 de Avira puso de relieve ciberamenazas y explotaciones de vulnerabilidades, como campañas de suplantación de identidad y correos maliciosos, así como un aumento de los ataques relacionados con Emotet.
El informe semestral sobre software malicioso nos ofrece una visión detallada de los ataques complejos, que incluyen amenazas PE (Portable Executable) y no PE, así como amenazas para Android y macOS. También echaremos un vistazo a los cada vez más comunes ataques a Office y al malware del internet de las cosas detectados por el Laboratorio de protección de Avira.
Los piratas ya no apuestan por la cantidad, sino por ataques más elaborados
En el segundo trimestre de 2020, presenciamos una pequeña reducción del total de detecciones. Esta reducción del conjunto de eventos de detección puede atribuirse a que los autores de software malicioso ya no apuestan tanto por el volumen, sino por metodologías de ataque más complejas y elaboradas, que se aprovechan de MS Office y de amenazas basadas en secuencias de comandos. Aunque los dispositivos móviles sufrieron menos ataques que en el primer trimestre de 2020, continúa el aumento del adware y las PUA.
Llamamos PE o Portable Executable a binarios ejecutables del sistema operativo Windows. Entre los PE encontramos archivos .exe y .dll, y otros formatos menos conocidos, como los .scr. Estas son, con mucho, las estructuras de datos más usadas para atacar con software malicioso la plataforma Windows.
En general, la lista de categorías de software malicioso es bastante estable: los más habituales son los troyanos, seguidos por los virus de archivo.
Teletrabajo durante la pandemia: una nueva oportunidad para los piratas
En el segundo trimestre de 2020, muchas personas trabajaron desde casa como consecuencia de la pandemia. Los creadores de software malicioso han sabido identificar la oportunidad del teletrabajo, respecto al trabajo en oficina, y han adaptado sus ataques.
En este trimestre, no solo hemos observado ahí fuera un aumento en las muestras de no Portable Executable, sino también un incremento en los ataques (evitados) a nuestra base de usuarios. Las amenazas no PE, como su nombre indica, no son archivos ejecutables de Windows, sino otras formas de infectar equipos. En esta categoría encontramos archivos de Office, secuencias de comandos o PDF, entre otros.
Presenciamos un importante aumento de las detecciones basadas en secuencias de comandos (73,55 %) y de las detecciones de macros basadas en Office (30,43 %). También hemos observado una tendencia mensual a la baja en los ataques de PDF y un incremento en los de JavaScript.
Cuando profundizamos en las diez principales amenazas no PE, observamos el mismo patrón. Las detecciones basadas en Office y en la web ocupan los primeros puestos:
El aumento más importante, con diferencia, se ha observado en documentos de Office con técnicas de macros de Excel 4.0 o XLM. Su popularidad ha crecido entre los diseñadores de software malicioso durante el último año. Como se muestra en la siguiente imagen, el pico tuvo lugar en mayo, seguido de una tendencia a la baja en junio.
En resumen, nos encontramos ante una técnica antigua y bien conocida, pero esta nueva campaña ha aprovechado varios trucos para confundir a los usuarios. Algunos han empleado propiedades ocultas o muy ocultas para esconder las hojas que contienen el código de macro y otros están protegidos con contraseña.
Rumanía, Italia y Francia, entre los países europeos más atacados
La media europea es más baja que la del resto del mundo y, dentro del continente, Rumanía es el estado miembro más atacado, con 436 ataques por cada 10 000 clientes. Otros países que destacan son Estados Unidos y Francia (117 ambos), Italia (109), Reino Unido (100), Alemania (71) o Canadá (65).
En el trimestre anterior, los ataques relacionados con la COVID-19 dejaron su huella en el ecosistema Android. Los creadores de software malicioso se aprovecharon del caos, así como de la necesidad de información y protección de los usuarios de Android.
Todos los tipos de software malicioso, desde el spyware o el adware hasta los troyanos bancarios más complejos y los ladrones de SMS, se clasificaron como aplicaciones relacionadas con la pandemia. Ya hemos analizado con anterioridad el ciclo de infección del troyano bancario Cerberus.
Los dispositivos de Apple son más seguros, pero no infalibles
Muchos aún creen que el software malicioso no afecta al sistema macOS, pero lo cierto es que el sistema de Apple se enfrenta con frecuencia a ataques basados en Office y secuencias de comandos, incluidas las amenazas de adware.
En el diagrama circular anterior, vemos distintas amenazas que afectan a los dispositivos de Apple. En lo que respecta a categorías de amenazas, el adware encabeza la lista, seguido del HTML (que detecta archivos capaces de infectar el sistema mediante una secuencia HTML), Office (software malicioso que infecta el sistema con macros o secuencias VBA incrustadas en el archivo de Office) y Exploit (archivos que aprovechan vulnerabilidades del sistema objetivo o de aplicaciones instaladas en él). La categoría «Otros» incluye archivos maliciosos detectados como macOS (software malicioso que usa binarios específicos de macOS), archivos que usan extensiones de archivo falsas u ocultas, suplantaciones y PUA.
Figura 11: Categorías de amenazas para macOS en el segundo trimestre de 2020
