Reporte de Malwarebytes sobre malware en 2019

El pasado 13 de febrero Malwarebytes publicó su reporte anual sobre la situación del malware durante el año anterior. Este estudio hace una distinción entre los diferentes sistemas operativos objetos de ataques como son Microsoft Windows o MacOS y cómo las diferentes soluciones de esta compañía como Malwarebytes Premium o sus productos específicos para negocio los detectan y catalogan.

Destacar, que a lo largo del artículo se verán las detecciones de malware en MacOS y en Windows, y una comparativa sobre ambas, ya que esta compañía afirma que la detección de malware en MacOS es superior a la de Microsoft, estudiaremos dicha sentencia y qué sentido real tiene.

Malware en Microsoft Windows

En primer lugar, comenzaremos este artículo hablando sobre las detecciones en empresas y particulares que usan sistemas operativos de Microsoft.

Se observa en el gráfico de abajo que en 2019 Malwarebytes aumentó su tasa de detección en tan solo un 1%, pero al ver los datos, queda de relieve que en la parte de negocio sí que ha ido en aumento alrededor de un 13%, hecho que deja a las claras la importancia para cualquier empresa de tener al menos un servicio o mejor, una empresa que preste servicios IT y pueda al menos monitorizar y dar respuesta a incidentes relacionados con malware.

Detecciones en 2019 vs 2018

Tipo de malware detectado en negocios

Del tipo de malware detectado llama poderosamente la atención la cantidad de adware detectado por esta compañía durante el año, lo cual dispara los porcentajes de detección respecto al curso anterior.

Por otro lado, destaca la aparición dentro del Top Ten de troyanos como Emotet y Trickbot, lo cual refleja la importancia que ha tenido esta campaña a nivel mundial durante 2019, donde en octubre ya se analizó en este mismo blog ( https://hacking-etico.com/2019/10/08/nueva-campana-del-malware-emotet-en-espana/ ) este malware debido a la oleada que se estaba sufriendo en el país.

Por último, reflejar también la aparición del troyano Qakbot en la lista, que viene siendo un quebradero de cabeza para más de un analista malware últimamente.

Ranking top 10 de amenazas

Tipos de malware detectados

En la imagen superior aparece el ranking top 10 de amenazas detectadas por esta solución y sus respectivos porcentajes de detección respecto al año anterior. Tal y como se observa, destacan las siguientes amenazas:

  • Adware: Es un tipo de malware que puede llegar a bombardear al usuario con publicidad o redirigir las búsquedas a otros sitios webs o recopilar información sobre el usuario para posteriormente usarlo con fines publicitarios. Las vías de entrada al sistema suelen ser dos:
    • Mediante su distribución por software gratuito para así financiar el desarrollo del mismo.
    • Mediante sitios webs infectados que de forma no autorizada instalan adware en el sistema.
  • Troyanos: Es el famoso tipo de malware conocido como “caballo de troya” que suele tener apariencia de software legítimo hasta que se ejecutan, momento en el cual muestran el verdadero comportamiento.

Subtipos de malware

Dentro de estos dos tipos de malware se engloban todos los aparecidos en el top 10 de 2019, que cada uno con sus variaciones, pero no dejan de ser de tipo:

  • Browser Hijacking: Tiene una gran cantidad de muestras variables, pero este tipo de malware se caracteriza por modificar la configuración del navegador, ya sea cambiando la web de inicio y búsqueda o inyectando anuncios mediante la redirección a webs de dudosa legitimidad. A veces incluso instalan hooks para obtener las pulsaciones de teclado y así obtener las credenciales de cuentas.
  • Troyanos bancarios: En este caso hablamos de Emotet y Trickbot, dos amiguitos que han ido de la mano en estos últimos meses junto al ransomware Ryuk causando daños en diferentes países, entre ellos España, como ya se habló en el artículo escrito en este mismo blog. En muy resumidas cuentas, ambos malware se desplegaban en organizaciones para estudiar su infraestructura, robar credenciales, propagarse y una vez la victima elegida, está estudiada y se tienen todos los datos necesarios, desplegar el ransomware Ryuk con todo el camino despejado. En definitiva, un ataque de 3 etapas, que ha dado sus frutos en diversos países, entre ellos el nuestro.

Otro de los malware de tipo bancario detectados por malwarebytes este año, ha sido Qbot. Este es otro malware que, mediante un keylogger, robo de cookies y captación de comunicaciones de red hacia bancos, obtiene las credenciales tanto bancaria como de otras cuentas. La diferencia de Qbot o qakbot en nuevas versiones, es que se enmascara como un doc siendo realmente un fichero Visual Basic Script que usa BITSAdmin en vez de la powershell para evitar ser detectado.

Malware en MAC en negocio

Según Malwarebyte ha existido este año un aumento del 400% en detección de malware en dispositivos con sistema operativo MAC. Los más destacados han sido los siguientes:

Ranking top 15 de amenazas

Se observa de forma nítida que las amenazas se aglutinan en dos grandes grupos, las PUP y las Adware:

  • PUP (Potentially Unwanted Programs):  Término acuñado por McAfee en su día para evitar identificar un programa como malware debido a que el usuario es quien da permiso para descargarlo y a la vez instale otros adicionales que pueden ejercer acciones no deseadas o potencialmente peligrosas en un sistema. Este software, suelen instalarse debido a que los usuarios suelen descargar programas gratuitos de sitios poco fiables que tienen instaladores personalizados. Lo normal es que estos programas PUP sean Browser Hijacking o apps clonadas que se hacen pasar por la “real”.
  •  Adware: Al igual que en el caso de Microsoft Windows es una de las categorías malware más detectadas durante el 2019.

Malware en MAC vs malware en Windows

En el informe de Malwarebyte dice que las detecciones de malware en MacOS han sido bastante superiores a la de Microsoft Windows.

Esta afirmación puede ser cierta siempre y cuando se mire desde el punto de vista de Malwarebytes y se tengan todas las métricas en la mano. Lo cierto es que en el informe no aparece ninguna métrica, como por ejemplo, estaría bien saber la tasa de falsos positivos y negativos de esta compañía comparándola con otras como McAfee o Kaspersky por ejemplo. Pero es una métrica que se entiende que no interesa.

Peligrosidad del malware detectado

Lo cierto es que mirando los tipos de malware detectados en Microsoft y los detectados en MacOS, se ve un enorme incremento de 6.2 respecto el año anterior, pero todo son adware y PUPs, los cuales son ambos molestos, pero ninguno tiene un potencial riesgo para los usuarios o sistema como sí que ocurre en Microsoft Windows con otro tipo de malware como son los troyanos o ransomware. Es decir, que la peligrosidad del malware detectado en Windows es bastante superior, nada que ver con lo detectado en MacOS. ¿Esto quiere decir que Malwarebytes en MacOS funciona peor que en Windows o que no es capaz de detectar cierto tipo de malware en este sistema operativo? Rotundamente no, simplemente son distintos.

Mejora de las firmas de Xprotect

Por otro lado, para que estas métricas sean así, han podido influir otros hechos internos de Apple como el desarrollo de nuevas reglas yara para detectar hasta 14 firmas nuevas de malware en MacOS como afirman desde Telefónica, donde en el artículo (https://empresas.blogthinkbig.com/apple-introduce-hasta-14-firmas-xprotect-ante-avalancha-malware-para-mac/) afirman que en 2 meses se han introducido en Xprotect 14 firmas frente a las 100 en 10 años. Estas mejoras han podido influir sin duda en aumentar la detección en los últimos meses.

Este hecho hace que haya aumentado la detección de un periodo a esta parte, pero no deja de ser todo relativo y pueda deberse a hechos como este, por este motivo, que casi duplique a la detección de Windows, debe ponerse en cuarentena, y más viendo que lo que más detecta son PUPs y adware frente a troyanos, backdoors, ransomware, etc. No es que sea ni mejor ni peor, simplemente que al depender de datos o métricas internas de Malwarebytes no hay suficientes elementos sobre los que emitir un juicio de valor.

En resumen, la detección de malware en MacOS ha aumentado considerablemente, pero sin métricas y viendo el tipo de malware que detecta, más hechos contrastados como el aumento de firmas en Xprotect, hacen que haya que verlo todo de forma relativa y realmente, sea poco probable que detecte más malware potencialmente peligroso en MacOS que en Windows.

Por último, mencionar que este reporte anual puede descargarse en el enlace
https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf

Venga a Ustedes!!