Check Point revela as principais ameaças cibernéticas de agosto

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, fornecedora de soluções de cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de agosto de 2022. Os pesquisadores relataram que o FormBook é agora o malware mais prevalente, substituindo o Emotet que ocupou a primeira posição desde seu reaparecimento em janeiro deste ano.

O FormBook é um infostealer (ladrão de informações) direcionado ao sistema operacional Windows que, uma vez implantado, pode coletar credenciais, capturas de tela, monitorar e registrar pressionamentos de tecla, bem como baixar e executar arquivos de acordo com suas ordens de Comando e Controle (C&C). Desde que foi descoberto pela primeira vez em 2016, este malware continuou a se destacar, comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers no submundo da Internet, conhecido por suas robustas técnicas de evasão e preço relativamente baixo.

No mês de agosto, os pesquisadores da CPR também observaram um rápido aumento na atividade do GuLoader, o que o levou à quarta posição no ranking global de malwares mais difundidos. O GuLoader foi inicialmente usado para baixar o Parallax RAT, mas, desde então, foi aplicado a outros cavalos de Troia de acesso remoto e infostealers, como Netwire, FormBook e AgentTesla. É comumente distribuído por meio de extensas campanhas de phishing por e-mail, as quais atraem a vítima para baixar e abrir um arquivo malicioso, permitindo que o malware funcione.

Além disso, a Check Point Research relata que o Joker, um spyware do Android, está de volta aos “negócios” e conquistou a terceiro posição na lista global de malware móvel mais importante em agosto. Depois que o Joker é instalado, ele pode roubar mensagens SMS, listas de contatos e informações do dispositivo, além de inscrever a vítima em serviços premium pagos sem o consentimento dela. Sua ascensão pode ser parcialmente explicada por um aumento nas campanhas, pois foi descoberto recentemente como um malware ativo em alguns aplicativos da Google Play Store.

“As alterações que vimos no índice de agosto, com o Emotet caindo do primeiro para o quinto lugar e o Joker se tornando o terceiro malware móvel mais prevalente, refletem a rapidez com que o cenário de ameaças pode mudar”, diz Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. “Isso deve servir de alerta às pessoas e empresas sobre a importância de se manterem atualizadas contra as ameaças mais recentes, pois saber como se proteger é essencial. Os atacantes estão em constante evolução e o surgimento do FormBook mostra que nunca podemos ser complacentes com a segurança e devemos adotar uma abordagem holística e preventiva nas redes, endpoints e na nuvem”, reforça Maya.

Principais famílias de malware

Em agosto, o FormBook foi o malware mais difundido no mês, impactando 5% das organizações em todo o mundo, seguido pelo AgentTesla com um impacto de 4% e XMRig com 2%.

↑ FormBook – é um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

↑ AgentTesla – é um RAT avançado que funciona como keylogger e ladrão de informações, capaz de monitorar e coletar a entrada do teclado da vítima, teclado do sistema, capturar screenshots e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima (incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).

↓ XMRig – é um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017. Os atacantes geralmente abusam desse software de código aberto, integrando-o ao malware para realizar mineração ilegal nos dispositivos das vítimas.

Principais setores atacados 

Quanto aos setores, em agosto, Educação/Pesquisa prosseguiu como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde.

1.Educação/Pesquisa

2.Governo/Militar

3.Saúde

No Brasil, os três setores no ranking nacional mais visados em agosto foram:

1.Governo/Militar

2.Comunicações

3.Transportes

O setor de Educação/Pesquisa subiu do oitavo para o sétimo lugar em agosto no ranking nacional.

Principais vulnerabilidades exploradas

Em agosto, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, tendo retornado ao primeiro lugar, impactando 44% das organizações no mundo, depois de ter ultrapassado a “Web Server Exposed Git Repository Information Disclosure”, cujo impacto global foi de 42%. A “Web Servers Malicious URL Directory Traversal” permaneceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 39%.

↑Apache Log4j Remote Code Execution (CVE-2021-44228) – existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

↓Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

↔Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor Web que não limpa adequadamente a URI (Uniform Resource Identifier) para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

Principais malwares móveis

Em agosto, o AlienBot é o malware móvel mais prevalente, seguido por Anubis e o Joker.

1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

2. Anubis – é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

3. Joker – é um spyware Android no Google Play, projetado para roubar mensagens SMS, listas de contatos e informações do dispositivo. Além disso, o malware também pode inscrever a vítima em serviços premium pagos sem seu consentimento ou conhecimento.

Os principais malwares de agosto no Brasil

O principal malware no Brasil em agosto é uma novidade na lista do País: o GuLoader, com 6,16% de impacto. O GuLoader é um downloader amplamente usado desde dezembro de 2019. Quando apareceu pela primeira vez, este malware era usado para baixar o Parallax RAT, mas foi aplicado a outros cavalos de Troia de acesso remoto e ladrões de informações, como Netwire, FormBook e AgentTesla. Quanto ao Emotet, que vinha liderando a lista nacional desde maio de 2022, este caiu para a quarta posição no ranking brasileiro com um índice de impacto de 3,46%.

Em segundo lugar no ranking nacional do mês passado está o FormBook com impacto de 4,58%. O Chaes desceu para a terceira posição com índice de impacto de 4,28%; este malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros.

Serviço
www.checkpoint.copm