Check Point aponta Trojan bancário para roubo de dados confidenciais

A Check Point Research  – CPR, braço de Inteligência em Ameaças da Check Point Software Technologies, divulga seu mais recente Índice Global de Ameaças referente ao mês de maio de 2020. Os pesquisadores descobriram várias campanhas maliciosas de spam distribuindo o Trojan bancário Ursnif, que fez com que este malware subisse da 19ª. para a quinta posição na lista mensal da Check Point, duplicando seu impacto nas organizações em todo o mundo.
O Trojan bancário Ursnif tem como alvo computadores com o sistema operacional Windows e é capaz de roubar informações financeiras e de acesso de e-mail, entre outros dados confidenciais. O Ursnif é distribuído em campanhas de spam malicioso por meio de anexos de arquivos Word ou Excel. A nova onda de ataques de trojan Ursnif, o qual aparece pela primeira vez no Top 10 malware, coincide com os relatórios sobre a ausência de uma de suas variantes populares, o Dreambot. Descoberto pela primeira vez em 2014, o Dreambot é baseado no código-fonte vazado de Ursnif. Conforme relatado desde março de 2020, o servidor back-end do Dreambot caiu e nenhuma nova amostra dele foi identificada.

Enquanto isso, o conhecido trojan bancário Dridex, que entrou no Top 10 de malware pela primeira vez em março, continuou a ter um impacto significativo em maio, permanecendo em primeiro lugar pelo segundo mês consecutivo. Quanto às principais famílias de malware móvel, essas foram completamente alteradas em maio, com o malware Android que gera receita fraudulenta ao clicar em anúncios para dispositivos móveis, liderando a lista de ameaças móveis e mostrando como os cibercriminosos tentam monetizar ataques contra dispositivos móveis.
“Com os trojans Dridex, Agent Tesla e Ursnif, todos classificados entre as cinco primeiras posições da lista de malware em maio, é claro que os cibercriminosos estão se concentrando no uso de malware que lhes permita monetizar os dados de suas vítimas”, diz Maya Horowitz, diretora de Pesquisa & Inteligência de Ameaças e Produtos da Check Point. “Embora os ataques relacionados à Covid-19 tenham caído, vimos um aumento de 16% no total de ciberataques em maio em comparação a março e abril; portanto, as organizações devem permanecer vigilantes adotando ferramentas e técnicas de proteção, especialmente após o exponencial movimento das pessoas para acessos remotos, cujos ambientes têm sido bem explorados pelos atacantes.”
As principais famílias de malware
Em maio mês, o Dridex permaneceu em 1º lugar, impactando 4% das organizações no mundo, seguido pelos Agent Tesla e XMRig, ambos impactando 3% das organizações em todo o mundo.
Dridex – É um Trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, os quais contam com o WebInjects para interceptar e redirecionar credenciais bancárias para um servidor controlado por atacante. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.
Agent Tesla – É um RAT (remote access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook). O Agent Tesla chegou a ser vendido publicamente como um Trojan de Acesso Remoto a valores entre US$15 e US$69 por cada licença de usuário.
XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Principais vulnerabilidades exploradas em maio
Em maio, a “MVPower DVR Remote Code Execution” ainda permanece em primeiro lugar no ranking mensal como a vulnerabilidade explorada mais comum, impactando 45% das organizações globalmente. A segunda vulnerabilidade mais popular é a “OpenSSL TLS DTLS Heartbeat Information Disclosure”, seguida por “Web Server Exposed Git Repository Information Disclosure” (divulgação de informações de repositório Git exposto ao servidor Web), impactando 40% e 39% das organizações, respectivamente.
MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um invasor remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Uma vulnerabilidade de divulgação de informações que existe no OpenSSL. A vulnerabilidade ocorre devido a um erro ao manipular pacotes de pulsação TLS / DTLS. Um invasor pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.
Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações foi relatada no Git Repository. A exploração bem-sucedida dessa vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
Principais famílias de malware – Dispositivos móveis
Em maio, as três principais famílias de malware foram completamente alteradas no ranking, com o PreAmo em primeiro lugar e como o malware móvel mais predominante, seguido por Necro e Hiddad.
PreAmo – um malware Android que imita o usuário clicando em banners recuperados de três agências de publicidade: Presage, Admob e Mopub.
Necro – é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.
Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de maio no Brasil
O XMRig continua liderando a lista Top 10 de malware do Brasil: impactou 18,26% em janeiro,11,13% em fevereiro, 7% em março, 4,99% em abril e 3,88% em maio. O Dridex impactou 1,68% em março – 9ª posição no ranking Top Malware – e, em abril, seu impacto foi de 2,45%, ocupando o 2º lugar e manteve esta posição em maio com 2,35% de impacto. O Ursnif não aparece no ranking do Brasil.
O Índice de Impacto Global de Ameaças da Check Point e seu Mapa ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o cibercrime que fornece dados de ameaças e tendências de ataques de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inspeciona mais de 2,5 bilhões de sites e 500 milhões de arquivos por dia e identifica mais de 250 milhões de atividades de malware diariamente.
Serviço
http://www.checkpoint.com/threat-prevention-resources/index.html