Doctor Web: informe de la actividad de virus en el IV trimestre de 2024

Según las estadísticas de detecciones del antivirus Dr.Web, en el IV trimestre del año 2024 el número total de amenazas detectadas bajó un 1,53% comparado con el III trimestre. Así mismo, el número de amenazas únicas aumentó un 94,43%. Con mayor frecuencia se detectaba adware y los troyanos de publicidad, los scripts maliciosos, así como los troyanos que se propagaban como parte de otro malware y se usaban para dificultar su detección. En el tráfico de correo con mayor frecuencia se detectaban los scripts maliciosos, los troyanos de publicidad y los troyanos miners. Además, se detectó una actividad aumentada de malware con funcionalidad espía.

Los usuarios cuyos archivos fueron afectados por los troyanos cifradores con mayor frecuencia afrontaban los encoders Trojan.Encoder.35534, Trojan.Encoder.35067 y Trojan.Encoder.26996.

En los dispositivos con Android las amenazas más populares otra vez fueron los troyanos de publicidad Android.HiddenAds. Al mismo tiempo, nuestros analistas de virus detectaron en el catálogo Google Play múltiple nuevo malware.

Según los datos del servicio de estadísticas Doctor Web

Las amenazas más populares del IV trimestre:

Adware.Downware.20091

Adware que sirve de instalador intermediario de software pirata.

VBS.KeySender.6

Un script malicioso que en un ciclo infinito busca ventanas con texto mode extensions, разработчика y розробника y les envía un evento de pulsar el botón Escape, al cerrarlas de forma forzosa.

JS.Siggen5.44590

Un código malicioso añadido a la biblioteca JavaScript pública es5-ext-main. Visualiza un mensaje determinado si el paquete está instalado en un servidor con el huso horario de ciudades rusas.

Trojan.BPlug.4210

Detección del componente malicioso de la extensión del navegador WinSafe. Este componente es un script JavaScript que visualiza publicidad importuna en navegadores.

Trojan.Starter.8242

Un malware que proporciona el inicio del troyano miner.

Estadísticas de malware en el tráfico de correo

JS.Siggen5.44590

Un código malicioso añadido a la biblioteca JavaScript pública es5-ext-main. Visualiza un mensaje determinado si el paquete está instalado en un servidor con el huso horario de ciudades rusas.

JS.Inject

Una familia de scripts maliciosos creados en lenguaje JavaScript. Incrustan el script malicioso en el código HTML de las páginas web.

LNK.Starter.56

Detección de un acceso directo creado a propósito que se propaga a través de los recopiladores extraíbles y para engañar a usuarios tiene incono de una unidad. Al abrirlo, se inician los scripts VBS maliciosos a partir del catálogo oculto ubicado en el mismo dispositivo que el acceso directo.

Win32.HLLW.Rendoc.3

Un gusano de red que se propaga así mismo a través de los dispositivos de información extraíbles.

Trojan.Fbng.123

Un programa troyano espía también conocido como Formbook. Sirve para robar varios datos de dispositivos infectados. Roba las contraseñas guardadas en navegadores, clientes email, messengers online y otro software, intercepta los datos introducidos en los formularios web, supervisa las pulsaciones de teclado (realiza las funciones de keylogger), crea screenshots. Además, puede descargar e iniciar otros programas, y también ejecutar varios comandos de malintencionados, al funcionar como backdoor.

Cifradores

En el IV trimestre del año 2024 el número de solicitudes para descifrar archivos afectados por los programas cifradores troyanos bajó un 18,96% comparado con el III trimestre.

Dinámica de recepción de solicitudes para descifrar al servicio de soporte técnico de Doctor Web:

Los encoders más populares del IV trimestre:

Trojan.Encoder.35534 — 22.63% solicitudes de usuarios

Trojan.Encoder. 35067 — 3.91% solicitudes de usuarios

Trojan.Encoder.26996 — 3.35% solicitudes de usuarios

Trojan.Encoder.35209 — 3.07% solicitudes de usuarios

Trojan.Encoder.38200 — 3.07% solicitudes de usuarios

Estafas en la red

En el IV trimestre del año 2024 sigue siendo actual un esquema de estafas cuando los malintencionados en los sitios web creados a propósito les ofrecían a las víctimas potenciales ganar dinero con varias inversiones. Para «acceder» a los servicios de inversión a los usuarios se les solicita el registro indicando los datos personales que luego reciben los estafadores. Los residentes de varios países afrontaron los sitios web de este tipo.

Un sitio web de estafa que supuestamente tiene que ver con el Banco mundial promete a los europeos los dividendos por invertir en los sectores de economía prometedores

Un sitio web de estafa les propone a los usuarios eslovacos «ganar más de $192 460 al mes» con un servicio de inversión

Los estafadores se hacen pasar por los bancos importantes y las empresas de petróleo y gas les proponen a los usuarios de Armenia y Moldavia «ganar dinero con participaciones»

Una web falsificada de una empresa de petróleo y gas azerbaiyana donde a los visitantes se les proponen ganar a partir de 1000 manat al mes

Un sitio web de «una nueva plataforma de inversión de Google» propone participar en una encuesta y acceder al servicio que supuestamente permite ganar a partir de €1000

Uno de los sitios web de estafa les ofrece a los usuarios rusos «ganancias pasivas» a partir de 150 000 RUB al mes

Los expertos de Doctor Web también detectaron un cambio estacional del contenido de los sitios web similares. Así, por ejemplo, a vísperas de las fiestas navideñas los estafadores empezaron a usar más temática de regalos supuestamente en nombre de bancos, empresas de petróleo y gas, criptobolsas y otras empresas. Por ejemplo, en un recurso de Internet falsificado los usuarios rusos supuestamente podían recibir los pagos de la criptobolsa según algunas «listas». Y para comprobar la disponibilidad de este pago, necesitaban participar en una encuesta e indicar sus datos personales.

Un sitio web falsificado de la criptobolsa les ofrece a los usuarios rusos recibir «los pagos navideños»

Otro sitio web falsificado informaba sobre alguna «oferta navideña» de una empresa de petróleo y gas en el marco de la cual muchos usuarios de Kazajistán para celebrar el Día de la independencia del país supuestamente podían empezar a recibir de 200 000 a 1 000 000 tenge al mes. Para «recibir» los pagos, las víctimas potenciales tenían que presentar una «solicitud», al indicar sus datos personales en el sitio web.

Un sitio web de estafa les ofrece a los usuarios de Kazajistán unos pagos importantes para celebrar el Día de independencia del país en el marco de una «oferta navideña»

Además, nuestros analistas de Internet detectaron la aparición de los sitios web falsificados de los bancos rusos donde a las víctimas potenciales se les propone participar en una encuesta sobre la calidad del servicio y supuestamente recibir un premio por hacerlo. Para realizarlo, a los usuarios se les solicitan los datos personales, tales como el nombre, apellidos y patronímico, el número de móvil vinculado a la cuenta bancaria, así como el número de la tarjeta bancaria.

Un ejemplo de un sitio web falsificado del banco que copia el diseño del sitio web real de la entidad de crédito y les propone a las víctimas potenciales participar en una encuesta para recibir un premio

Para «participar» en la encuesta, el usuario debe rellenar el formulario, al proporcionar sus datos

Además, fueron detectados los sitios web de estafa que proponían participar en una formación en línea, por ejemplo, de programación. A los usuarios interesados se les proponía dejar sus datos de contacto para «recibir una consulta».

Un sitio web que propone los cursos online de programación. Para «recibir la consulta» los usuarios deben indicar sus datos personales.

Los estafadores de Internet no dejan de intentar robar las cuentas de Telegram. Así, por ejemplo, en el IV trimestre del año 2024 fueron detectados más sitios web phishing, ocultados por varias encuestas online — por ejemplo, en las «competiciones de dibujos infantiles». Para «confirmar» el voto, los usuarios deben indicar el número de móvil al que recibirán un código de verificación. Pero, al indicar este código en un sitio web falsificado, abren el acceso a sus cuentas para los estafadores.

Un sitio web de estafadores donde a los visitantes se les ofrece votar en un concurso de dibujos

«Un sistema de votos» solicita el número de móvil para «confirmar el voto» y enviar un código de un solo uso

Al introducir el código recibido las víctimas proporcionan a los estafadores el acceso a sus cuentas en Telegram

Malware y software no deseado para dispositivos móvilesв

Según los datos de estadísticas de detecciones Dr.Web Security Space para dispositivos móviles, en el IV trimestre del año 2024 los usuarios con mayor frecuencia afrontaban los troyanos de publicidad Android.HiddenAds, malware Android.FakeApp y Android.Siggen. Además, durante el periodo pasado los expertos de la empresa Doctor Web detectaron múltiples nuevas amenazas en el catálogo Google Play.

Los eventos más importantes vinculados a la seguridad «móvil» en IV trimestre:

• alta actividad de troyanos de publicidad Android.HiddenAds y malware de estafa Android.FakeApp,
• aparición del nuevo malware en el catálogo Google Play.

Para más información sobre los eventos de virus para dispositivos móviles en el IV trimestre del año 2024 consulte nuestro informe.