Os cavalos de Tróia retornam aos ciberataques com ransomware e phishing

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, publicou o Índice Global de Ameaças referente ao mês de novembro de 2022. No mês passado, os pesquisadores viram o retorno do Emotet, um malware cavalo de Tróia ambicioso que teve uma curta pausa durante o terceiro trimestre deste ano. Enquanto o Qbot passou para o terceiro lugar pela primeira vez desde julho de 2021, com um impacto global de 4% – detalhe, o Qbot pode conduzir ataques de ransomware. Houve ainda um aumento notável nos ataques Raspberry Robin, um worm sofisticado que normalmente usa unidades USB maliciosas para infectar máquinas.

Em julho de 2022, a Check Point Research (CPR) relatou uma diminuição significativa no impacto global e na atividade do Emotet, suspeitando que sua ausência seria apenas temporária. Conforme previsto, este cavalo de Troia autopropagável agora está subindo no índice novamente, alcançando o segundo lugar como o malware mais difundido em novembro, com um impacto de 4% nas organizações em todo o mundo. Embora o Emotet tenha começado como um cavalo de Troia bancário, seu design modular permitiu que ele evoluísse para um distribuidor de outros tipos de malware, e é comumente disseminado por meio de campanhas de phishing. O aumento da prevalência do Emotet pode ser parcialmente devido a uma série de novas campanhas de malspam lançadas em novembro, projetadas para distribuir cargas úteis de cavalos de Troia bancários IcedID.

Além do Emotet, pela primeira vez desde julho de 2021, o Qbot, um cavalo de Troia que rouba credenciais bancárias e dados a partir de digitação do teclado, alcançou o terceiro lugar na lista dos principais malwares, com um impacto global de 4%. Os atacantes por trás desse malware são cibercriminosos motivados financeiramente, roubando dados financeiros, credenciais bancárias e informações do navegador da Web de sistemas infectados e comprometidos. Depois que os atacantes do Qbot conseguem infectar um sistema, eles instalam um backdoor para conceder acesso aos operadores de ransomware, levando a ataques de extorsão dupla. Em novembro, o Qbot aproveitou uma vulnerabilidade do Windows Zero-Day para fornecer aos cibercriminosos acesso total às redes infectadas.

Em novembro também houve um aumento no Raspberry Robin, um worm sofisticado que usa unidades USB maliciosas que contêm arquivos de atalho do Windows que parecem legítimos, mas na verdade infectam as máquinas das vítimas. A Microsoft descobriu que ele evoluiu de um worm amplamente distribuído para uma plataforma infectante para distribuição de malware, vinculado a outras famílias de malware e métodos alternativos de infecção além da propagação original da unidade USB.

“Embora esses malwares sofisticados possam permanecer inativos durante os períodos mais tranquilos, as últimas semanas servem como um forte lembrete de que eles não permanecerão quietos por muito tempo. Não podemos nos dar ao luxo de nos tornarmos complacentes, por isso é importante que todos permaneçam vigilantes ao abrir e-mails, clicar em links, visitar sites ou compartilhar informações pessoais”, ressalta Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

A CPR também revelou que a “Web Servers Malicious URL Directory Traversal” é a vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida de perto pela “Web Server Exposed Git Repository Information Disclosure”, com um impacto de 45%. Em novembro, Educação/Pesquisa manteve-se em primeiro lugar como o setor mais atacado globalmente.

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em novembro, Educação/Pesquisa prosseguiu como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde; os mesmos setores e as mesmas posições na lista desde o mês de agosto.

1.Educação/Pesquisa
2.Governo/Militar
3.Saúde

No Brasil, os três setores no ranking nacional mais visados em novembro foram:

1. Governo/Militar
2. SI/VAR/Distributor (Integradores de Sistemas/VAR/Distribuidores)
3. Transportes

O setor de Educação/Pesquisa permaneceu em sétimo lugar em novembro no ranking nacional.

Principais vulnerabilidades exploradas

Em novembro, a equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” seguiu como a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, seguida pela “Web Server Exposed Git Repository Information Disclosure”, ocupando o segundo lugar com impacto global de 45% das organizações. A “HTTP Headers Remote Code Execution” manteve-se em terceiro lugar das vulnerabilidades com um impacto global de 42%.

Principais malwares móveis

Em novembro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por Hydra e AlienBot.

1. Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

2.Hydra é um cavalo de Troia bancário projetado para roubar credenciais financeiras, solicitando às vítimas que ativem permissões perigosas.

3.AlienBot é um cavalo de Troia bancário para Android, vendido clandestinamente como Malware-as-a-Service (MaaS). Ele suporta keylogging, sobreposições dinâmicas para roubo de credenciais, bem como coleta de SMS para desvio de duplo fator de autenticação (2FA). Recursos adicionais de controle remoto são fornecidos usando um módulo TeamViewer.

Serviço
www.checkpoint.com