Todas las noticias

• El análisis de contenedores Docker con Dr.Web vxCube reduce el riesgo de ataques dirigidos

  1 de abril de 2025

  Las infraestructuras de IT modernas dependen cada vez más de las tecnologías de contenedores, especialmente Docker. El uso de estos entornos ligeros y aislados para ejecutar aplicaciones es popular gracias a su eficacia y facilidad de integración en la infraestructura. Estos contenedores simplifican el desarrollo, las pruebas y el despliegue de aplicaciones, permitiendo a las empresas escalar sus soluciones de forma flexible y acelerar el ciclo de lanzamiento de actualizaciones.
  Uno de los desafíos en el uso de contenedores Docker es la práctica habitual de basar su construcción en imágenes de terceros. Para agilizar el desarrollo y la implementación de aplicaciones, muchas empresas recurren a imágenes preconfiguradas proporcionadas por terceros. Sin embargo, estas imágenes pueden contener vulnerabilidades o elementos maliciosos que representan una grave amenaza para la infraestructura de IT.

  El uso de contenedores no analizados aumenta el riesgo de introducir malware o funciones no documentadas en los sistemas corporativos. Básicamente, esto abre la puerta a un posible ataque a la cadena de suministro (Supply Chain Compromise, según la clasificación de MITRE).

  Para evitar estos riesgos, es fundamental llevar a cabo una comprobación y análisis exhaustivos de los contenedores antes de su implementación, utilizando herramientas como Dr.Web vxCube.

  Nuevas funciones de Dr.Web vxCube

  En respuesta al creciente número de amenazas relacionadas con las tecnologías de contenedores, a la sandbox Dr.Web vxCube fue añadida una nueva función: el análisis de contenedores Docker. Ahora, los usuarios pueden realizar un análisis detallado de las imágenes de contenedores para detectar posibles amenazas ocultas, funciones no documentadas o elementos maliciosos.

  La sandbox Dr.Web vxCube analiza el comportamiento de objetos sospechosos y ayuda a identificar amenazas que los sistemas de protección tradicionales no siempre pueden detectar. Esta herramienta es clave para afrontar las ciberamenazas modernas, incluidas las APT (Advanced Persistent Threats o amenazas persistentes avanzadas).

  La sandbox Dr.Web vxCube es ideal para los Centros de Supervisión y Prevención de Ataques (SOC), cuya tarea principal es detectar y neutralizar amenazas en las primeras etapas. Proporciona tanto análisis manual como automatizado de archivos sospechosos en un entorno aislado. Esto ayuda a identificar amenazas ocultas y detallar el comportamiento del malware, al permitir afrontarlo de manera más eficaz.

  El uso de la sandbox no solo reduce el tiempo necesario para tomar decisiones, sino que también alivia la carga de trabajo de los expertos en seguridad. Gracias al soporte de diferentes sistemas operativos y aplicaciones, Dr.Web vxCube permite analizar una amplia gama de amenazas, por lo cual puede considerarse una herramienta indispensable para los SOC.

  Principales funciones del análisis de contenedores Docker en Dr.Web vxCube:

  • análisis de imágenes de contenedores en un entorno aislado para detectar componentes ocultos o maliciosos;
  • análisis del comportamiento de los contenedores, incluyendo la actividad de la red y la interacción con el sistema;
  • posibilidad de identificar funciones no documentadas que puedan representar amenazas de seguridad;
  • informe detallado sobre los resultados del análisis, incluyendo información sobre las acciones sospechosas del contenedor.

  El uso de Dr.Web vxCube para el análisis de contenedores Docker ofrece una serie de ventajas importantes:

  • mejora del nivel de seguridad de las aplicaciones en contenedores mediante el análisis de las imágenes.
  • reducción de riesgos para toda la infraestructura de IT al prevenir la introducción de código malicioso a través de contenedores no verificados.
  • optimización de los procesos de verificación e implementación de contenedores, lo cual acelera el desarrollo e implementación de aplicaciones sin comprometer la seguridad.

  Puede obtener más información sobre Dr.Web vxCube y acceder la versión demo aquí - https://www.drweb-av.es/vxcube/.

  Obtener la demo

• Doctor Web: informe de la actividad de virus en el I trimestre del año 2025

  27 de marzo de 2025

  Según las estadísticas de detección del antivirus Dr.Web, en el primer trimestre de 2025 el número total de amenazas detectadas aumentó un 7,23% en comparación con el cuarto trimestre de 2024. Al mismo tiempo, el número de amenazas únicas disminuyó casi en un tercio, un 27,59%. Esto indica que los ciberdelincuentes, al aumentar ligeramente la intensidad de los ataques, comenzaron a utilizar con mayor frecuencia el mismo malware y software no deseado. Las amenazas más comunes fueron los scripts maliciosos de diversas funcionalidades, así como los troyanos publicitarios y adware.

  En el tráfico de correo electrónico, se detectaron con mayor frecuencia los troyanos dropper y cargadores, adware, scripts maliciosos, así como los troyanos destinados a ejecutar diversas amenazas en los ordenadores atacados.

  Los usuarios cuyos archivos fueron afectados por los troyanos cifradores con mayor frecuencia afrontaban los encoders Trojan.Encoder.35534, Trojan.Encoder.35209 y Trojan.Encoder.35067.

  En enero el laboratorio de virus de Doctor Web detectó una campaña activa para la minería de la criptomoneda Monero, organizada con el uso de múltiple malware. Para ocultar algunos de ellos, los ciberdelincuentes emplearon esteganografía, una técnica que permite ocultar ciertos datos dentro de otros, como, por ejemplo, en imágenes.

  Al mismo tiempo, durante el primer trimestre, nuestros analistas de Internet detectaron un aumento del número de sitios fraudulentos dirigidos al robo de cuentas de usuarios del messenger Telegram.
  En el segmento de amenazas móviles, se observó un crecimiento en la actividad de troyanos publicitarios y de algunas familias de troyanos bancarios para el sistema operativo Android. Además, los expertos de la empresa Doctor Web identificaron decenas de nuevos programas maliciosos en el catálogo de Google Play.

  Tendencias clave del I trimestre

  • Aumento del número de amenazas detectadas en los dispositivos protegidos
  • Reducción del número de amenazas únicas utilizadas en los ataques
  • Aumento del número de sitios de phishing creados para el robo de cuentas de Telegram
  • Aumento de la actividad de varias familias de troyanos publicitarios y bancarios para el sistema operativo Android
  • Aparición de nuevos programas maliciosos en Google Play

  Según los datos del servicio de estadísticas Doctor Web

  Las amenazas más difundidas del I trimestre del año 2025:

  VBS.KeySender.6

  Un script malicioso que en un ciclo infinito busca ventanas con texto mode extensions, разработчика y розробника y les envía un evento de pulsación de la tecla Escape, cerrándolas de manera forzosa.

  Adware.Downware.20091

  Adware que sirve de instalador intermediario de software pirata.

  Trojan.BPlug.4242

  Detección del componente malicioso de la extensión del navegador WinSafe. Este componente consiste en un script de JavaScript que visualiza publicidad importuna en navegadores.

  JS.Siggen5.44590

  Un código malicioso añadido a la biblioteca de JavaScript pública es5-ext-main. Visualiza un mensaje determinado si el paquete ha sido instalado en un servidor con el huso horario de ciudades rusas.

  Trojan.Siggen30.53926

  Un proceso host del framework Electron modificado por los malintencionados camuflado de un componente de la aplicación Steam (Steam Client WebHelper) que carga un backdoor JavaScript.

  Estadísticas de malware en el tráfico de correo

  JS.Siggen5.44590

  Un código malicioso añadido a la biblioteca JavaScript pública es5-ext-main. Visualiza un mensaje determinado si el paquete ha sido instalado en el servidor con el huso horario de ciudades rusas.

  JS.Inject

  Una familia de scripts maliciosos creados en lenguaje JavaScript. Incrustan el script malicioso en el código HTML de las páginas web.

  Trojan.AVKill.63950

  Un dropper que instala el backdoor JS.BackDoor.42 en equipos administrados por el SO Windows.

  Trojan.Inject5.13806

  Un malware para ordenadores con el SO Windows creado con el uso del lenguaje script AutoIt. Lanza varios procesos del sistema e inyecta en ellos el troyano espía Trojan.Fbng, que los atacantes pueden utilizar, entre otras cosas, como troyano bancario.

  Cifradores

  En el primer trimestre de 2025, el número de solicitudes para descifrar archivos afectados por troyanos cifradores disminuyó un 9,34% en comparación con el cuarto trimestre del año pasado.

  Dinámica de las solicitudes de descifrado al servicio de soporte técnico de Doctor Web:

  Los encoders más populares del I trimestre de 2025:

  • Trojan.Encoder.35534 — 11.89% de solicitudes de usuarios
  • Trojan.Encoder.35209 — 5.95% de solicitudes de usuarios
  • Trojan.Encoder. 35067 — 3.57% de solicitudes de usuarios
  • Trojan.Encoder.38200 — 2.38% de solicitudes de usuarios
  • Trojan.Encoder.37369 — 1.98% de solicitudes de usuarios

  Estafas de red

  En el primer trimestre de 2025, los analistas de Internet de la empresa Doctor Web observaron la aparición de numerosos sitios de phishing para robar cuentas del messenger Telegram. Entre los tipos más comunes se encontraban páginas falsas de inicio de sesión y páginas de soporte, que informaban sobre supuestos problemas debido a una violación de los términos de uso del servicio.

  Volvieron a ser populares los sitios falsos de tiendas en línea, en los cuales los ciberdelincuentes ofrecían a las potenciales víctimas iniciar sesión en sus cuentas.

  Formulario de inicio de sesión phishing en el sitio falso de una tienda en línea rusa

  Nuestros especialistas continuaron detectando sitios fraudulentos con todo tipo de "ofertas atractivas", como acceso a ganancias fáciles o rápidas, recibir ciertos regalos, participar en promociones, entre otros. Por ejemplo, uno de los esquemas estaba dirigido a los habitantes del Reino Unido. Se les ofrecía obtener tarjetas de transporte "de edición limitada", supuestamente conmemorativas del aniversario de algún operador de transporte, que permitirían utilizar los servicios de transporte público de forma gratuita durante un largo período.

  Sitios fraudulentos que ofrecen la oportunidad de obtener tarjetas de transporte "promocionales" First Essex y Oyster para el uso gratuito del transporte público

  Los usuarios debían responder a varias preguntas y luego jugar a un juego, al abrir cajas virtuales con regalos ("el premio" en estos escenarios ya estaba determinado de antemano). Después de la "victoria", se les pedía que proporcionaran sus datos personales y pagaran £2 para "obtener" la tarjeta prometida. La información personal de las víctimas y el dinero terminaban en manos de los ciberdelincuentes.

  La víctima potencial supuestamente encontró con éxito la tarjeta en una de las cajas del juego y, para obtenerla, debía proporcionar sus datos personales y pagar £2

  Formulario para introducirr los datos de la tarjeta bancaria para el pago de una tarjeta de transporte promocional inexistente

  Los ciberdelincuentes continúan acechando a las víctimas potenciales con diversas plataformas comerciales que afirman tener "algoritmos únicos", incluidos los supuestamente basados en tecnologías de inteligencia artificial. Además, los estafadores utilizan los nombres de personas conocidas y se hacen pasar por empresas y servicios legítimos, afirmando estar relacionados con ellos. Uno de los escenarios más actuales sigue siendo la promesa de ganar dinero mediante ciertos servicios especializados de Telegram, WhatsApp y otras empresas.

  Así, por ejemplo, algunos sitios promovían diversas plataformas de IA, como Telegram AI y WHATSAPP AI, que supuestamente podrían generar hasta €14,000 al mes con el uso de un "sistema de comercio automatizado":

  Otros tipos explotaban el tema de los bots comerciales, que a menudo se presentan como herramientas creadas directamente por los propietarios de los mensajeros. Por ejemplo, uno de los sitios prometía que el "bot de Pavel Durov" Telegram.AI permitiría ganar hasta €2500 al mes, mientras que otro ofrecía la posibilidad de ganar hasta €500 al día utilizando el bot WhatsApp Bot, supuestamente creado por Mark Zuckerberg.

  Otro sitio fraudulento ofrecía registrarse en una «plataforma de Telegram», que supuestamente se ejecutaba directamente desde el navegador del smartphone, realizaba operaciones comerciales con acciones de empresas globales y generaba €10,000 al mes:

  Otro le prometía a «cualquier residente europeo» recibir ganancias a partir de €5000 al mes con algunos algoritmos de la empresa WhatsApp a base de la inteligencia artificial:

  Un tipo común del esquema fraudulento con un sistema de comercio falso basado en IA es la plataforma scam "Fórmula de la riqueza", que supuestamente realiza operaciones comerciales en fracciones de segundo teniendo en cuenta el análisis de un gran volumen de datos. Varios sitios de este sistema inexistente invitan a los visitantes a ver un video informativo y registrarse para recibir una consulta en la "oficina de soluciones contra crisis". Los estafadores se centran principalmente en usuarios europeos, en particular checos, a quienes prometen ganancias de €1000 por día "de por vida ". Para acceder al sistema, se les pide a las víctimas potenciales que realicen un depósito mínimo de €250.

  Siguen siendo populares otros escenarios similares, como la obtención de ingresos mediante algún software especializado. Por ejemplo, uno de los sitios invitaba a los usuarios checos a ganar decenas de miles de coronas al día gracias al «software criptográfico más inteligente del mundo»:

  Otro portal fraudulento prometía ganar más de 4,7 millones de coronas al mes con un supuesto software de comercio «10K EVERY DAY APP»:

  Al mismo tiempo, los usuarios continuaron afrontando sitios falsos de temática de inversión, cuyo objetivo eran los habitantes de diferentes países. Por ejemplo, para el público de Kazajistán, los estafadores prepararon una nueva plataforma para ganar dinero de forma pasiva a través del comercio de petróleo y gas:

  Múltiples otros sitios ofrecían «ganar lo máximo posible» con el comercio de acciones de Kazajistán, Rusia, China y otros países:

  Los residentes de Rusia y Kirguistán afrontaron sitios similares, que supuestamente les permitían ganar dinero a través del comercio de petróleo y gas:

  Uno de los sitios fraudulentos ofrecía a los usuarios rumanos unirse al proyecto del gasoducto BRUA y prometía 3000 lei a la semana como ingresos pasivos:

  Un aliciente para las víctimas potenciales siguen siendo sitios que prometen ayudas públicas a la población en forma de subsidios, pagos sociales, etc. Así, los ciberdelincuentes intentaron acechar a los usuarios rusos a falsificaciones del portal de los Servicios del Estado. En uno de estos sitios, se pedía a los usuarios proporcionar sus datos personales supuestamente para participar en un programa de pagos de una empresa de petróleo y gas, así como para recibir bonos del gobierno:

  Otro sitio fraudulento prometía ayuda a cada residente de Kazajistán en forma de pagos supuestamente en nombre de un banco importante «para evitar problemas y desastres»:

  Siguen siendo populares los sitios falsos de servicios de inversión, en particular de instituciones financieras rusas. Muchos de ellos se hacen pasar por verdaderos portales web de bancos para confundir al máximo a las víctimas potenciales.

  Unos ejemplos de sitios falsos de bancos rusos que ofrecen acceso a «servicios de inversión»

  Conozca más sobre los sitios no recomendados por Dr.Web

  Malware y software no deseado para dispositivos móviles

  Según los datos estadísticos de detecciones de Dr.Web Security Space para dispositivos móviles, en el I trimestre del año 2025 las amenazas en Android más populares fueron los troyanos adware Android.HiddenAds y Android.MobiDash, así como adware falso Android.FakeApp. Comparado con el trimestre IV del año pasado, su actividad subió. Además, los usuarios afrontaron con mayor frecuencia los troyanos bancarios Android.BankBot y Android.Banker. Los troyanos espía Android.SpyMax, el número de ataques con aplicación de los cuales en el año 2024 aumentaba casi todos los meses, al contrario, se detectaron en dispositivos protegidos con menos frecuencia.

  Nuestros expertos otra vez detectaron múltiples amenazas en el catálogo Google Play. Entre las mismas — los troyanos usados en varios esquemas de estafa, malware para robar criptomoneda, así como troyanos adware.

  Los eventos más destacados vinculados a la seguridad «móvil» en el I trimestre:

  • Aumento de la actividad de troyanos adware Android.HiddenAds y Android.MobiDash
  • Aumento de la actividad de troyanos bancarios Android.BankBot y Android.Banker
  • Reducción del número de ataques de troyanos espía Android.SpyMax
  • Detección de nuevas amenazas en el catálogo Google Play

  Para más información sobre los eventos de virus para dispositivos móviles en el I trimestre del año 2025, consulte nuestro informe.