El renombrado laboratorio de pruebas de antivirus austriaco AV-Comparatives ha publicado su Consumer Summary Report 2022, otorgando a Bitdefender el codiciado premio al «Producto del año» por quinta vez, más que cualquier otro proveedor en la última década.
AV-Comparatives probó rigurosamente 17 productos de seguridad para el consumidor para medir su capacidad para defenderse de las amenazas de Internet del mundo real, el malware completamente nuevo y los ataques dirigidos avanzados, todo mientras evita la tensión en los recursos del sistema de la PC.
Bitdefender Antivirus, que ha sido seleccionado como el producto del año 5 veces en los últimos 10 años, destaca como la solución de seguridad cibernética más exitosa en este campo y en comparación con sus competidores.
Protección fiable a lo largo del tiempo
Nuestra tecnología antivirus central obtiene constantemente puntajes perfectos y casi perfectos en pruebas independientes en varias organizaciones de la industria; Diseñado para proteger a los usuarios contra malware, phishing, sitios web maliciosos, Además incluye otras características clave como firewall, filtro de correo no deseado, administrador de contraseñas, triturador de archivos, controles parentales y más.
Por ejemplo, en la Prueba de Protección contra Amenazas Avanzadas (ATP) de AV-Comp, Bitdefender Internet Security emergió como el producto más recomendado después de su desempeño estelar en una amplia gama de escenarios de ataques dirigidos, desde ingeniería social hasta malware y código malicioso puro inyectado directamente en la memoria. (ataques sin archivos).
Una nueva campaña de malware aprovechó versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación. Los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent.
Mandiant (firma estadounidense de ciberseguridad y una subsidiaria de Google), descubrió el ataque de «socially engineered supply chain» a mediados de julio de 2022.
«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dijo la compañía de ciberseguridad en un análisis técnico profundo que realizaron.
El archivo ISO, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.
Las herramientas adicionales que se instalaban son: una herramienta proxy de código abierto, un backdoor liviano que permite al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.
En algunos casos, el atacante intentó descargar el navegador TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.
Para prevenir este tipo de situación es importante aplicar el principio de seguridad informática de la Autenticidad, que nos indica que debemos verificar que la fuente y el archivo en cuestión son auténticos.
A mediados de noviembre se detectó un nuevo malware desarrollado en Go llamado ‘Zerobot’ que usa exploits para cerca de 21 vulnerabilidades en una variedad de dispositivos y software que incluyen phpMyAdmin, routers D-Link, cámaras Hikvisión, entre otros. Desde noviembre ha surgido una nueva versión con módulos adicionales y exploits para nuevas fallas, lo que indica que el malware está en desarrollo activo.
El objetivo del malware es capturar y agregar dispositivos comprometidos a una botnet de denegación de servicio distribuida (DDoS) para lanzar ataques masivos contra objetivos específicos.
Zerobot puede escanear la red y autopropagarse a dispositivos adyacentes, así como ejecutar comandos en Windows (CMD) o Linux (Bash).
El malware puede tener como objetivo una variedad de arquitecturas de sistemas y dispositivos, como ser: i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 y S390x.
Al momento de ser descubierto Zerobot incorporaba exploits para 21 vulnerabilidades y las usaba para obtener acceso al dispositivo. Luego descarga un script llamado «cero», que le permite propagarse a sí mismo.
Zerobot utiliza los siguientes exploits para vulnerar sus objetivos:
Además, la botnet utiliza cuatro exploits a los que no se les ha asignado un identificador (CVE). Dos de ellos apuntan a terminales GPON y enrutadores D-Link, los detalles sobre los otros dos no están claros al momento de redactar escribir este artículo.
¿Cómo funciona Zerobot?
Después de comprometer el dispositivo, Zerobot establece una conexión WebSocket al servidor de Command and Control (C2) y envía información básica sobre la víctima.
El C2 responde con uno de los siguientes comandos:
ping – Heartbeat, para verificar la conexión
attack – Lanza el ataque por protocolos diferentes: TCP, UDP, TLS, HTTP, ICMP
stop – Para el ataque
update – Instala, actuaiza y reinicia Zerobot
enable_scan – Escanea en busca de puertos abiertos y empieza a propagarse a través de exploits o SSH/Telnet crackers
disable_scan – Deshabilita el escaneo
command – Ejecuta comandos de S.O. usando CMD en Windows o Bash en Linux
kill – Elimina el programa de la botnet
El malware también utiliza un módulo «anti-kill» diseñado para evitar que finalice o elimine su proceso.
Desde su apareción por primera vez el 18 de noviembre, el desarrollador de Zerobot lo ha mejorado con ofuscación de cadenas, un módulo de copia de archivos, un módulo de autopropagación y varios exploits nuevos.