Check Point revela relatório com as principais ameaças de janeiro

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de janeiro de 2023. No mês passado, o Infostealer Vidar voltou à lista dos dez primeiros em sétimo lugar, após um aumento nos casos de brandjacking (junção das palavras “marca” e “hijacking”) e o lançamento de uma grande campanha de phishing de malware njRAT no Oriente Médio e no norte da África.

Em janeiro, o Infostealer Vidar foi visto sendo disseminado por meio de domínios falsos alegando estar associado à empresa de software de desktop remoto AnyDesk. O malware usou o roubo de URL para vários aplicativos populares para redirecionar as pessoas para um único endereço IP que afirmava ser o site oficial do AnyDesk. Depois de baixado, o malware se disfarçou como um instalador legítimo para roubar informações confidenciais, como credenciais de login, senhas, dados da carteira de criptomoedas e detalhes bancários.

Os pesquisadores também identificaram uma grande campanha apelidada de Earth Bogle, direcionando o malware njRAT a alvos em todo o Oriente Médio e no norte da África. Os atacantes usaram e-mails de phishing contendo temas geopolíticos, induzindo os usuários a abrir anexos maliciosos. Depois de baixado e aberto, o cavalo de Troia pode infectar os dispositivos, permitindo que os atacantes realizem inúmeras atividades intrusivas para roubar informações confidenciais. O njRAT ocupou o décimo lugar na lista global dos principais malwares, tendo caído de posição após setembro de 2022.

“Mais uma vez, vemos grupos de malware usarem marcas confiáveis para espalhar vírus, com o objetivo de roubar informações pessoais identificáveis. Não posso deixar de enfatizar o quanto é importante que as pessoas prestem atenção aos links em que estão clicando para garantir que sejam URLs legítimas. Fiquem atentos ao cadeado de segurança, que indica um certificado SSL atualizado, e observem qualquer erro de digitação oculto que possa sugerir que o site é malicioso”, ressalta Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

No Brasil, o malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado, liderou a lista nacional pelo segundo mês consecutivo, mantendo alto impacto nas organizações no país – de 16,58% em dezembro de 2022 e 16,44% em janeiro de 2023 -; em ambos os meses, os índices foram de praticamente o dobro em relação àqueles globais.

A equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” permaneceu como a vulnerabilidade mais explorada em janeiro, impactando 46% das organizações em todo o mundo, seguida pela “HTTP Headers Remote Code Execution”, com um impacto de 42%; a “MVPower DVR Remote Code Execution” foi a terceira vulnerabilidade mais usada, com um impacto global de 39%.

Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em janeiro passado, o Qbot e o Lokibot foram os malwares mais difundidos no mês, impactando mais de 6% das organizações em todo o mundo respectivamente, seguidos por AgentTesla com impacto global de 5%.

↑ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário. Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.

↑ Lokibot – é um infostealer de commodities com versões para os sistemas operacionais Windows e Android identificadas pela primeira vez em fevereiro de 2016. Ele coleta credenciais de vários aplicativos, navegadores da Web, clientes de e-mail, ferramentas de administração de TI, como PuTTY e muito mais. O LokiBot é vendido em fóruns de hackers e acredita-se que seu código-fonte vazou, permitindo o aparecimento de inúmeras variantes. Desde o final de 2017, algumas versões do LokiBot para Android incluem a funcionalidade de ransomware, além de seus recursos de roubo de informações.

↑ AgentTesla – é um RAT avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar a entrada do teclado da vítima, o teclado do sistema, tirar capturas de tela e exfiltrar credenciais para uma variedade de softwares instalados na máquina da vítima ( incluindo Google Chrome, Mozilla Firefox e o cliente de e-mail Microsoft Outlook).

Principais setores atacados no mundo e no Brasil

Quanto aos setores, em janeiro, Educação/Pesquisa firmou-se na liderança da lista como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde. Esses são os mesmos setores que ocupam as mesmas posições na lista global da Check Point Software desde o mês de agosto de 2022.

1.Educação/Pesquisa
2.Governo/Militar
3.Saúde

No Brasil, os três setores no ranking nacional mais visados em janeiro passado foram:

1.Governo/Militar
2.Utilities
3.Saúde

Principais vulnerabilidades exploradas

Em janeiro, a equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, seguida pela “HTTP Headers Remote Code Execution”, ocupando o segundo lugar com impacto global de 42% das organizações. A “MVPower DVR Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 39%.

Principais malwares móveis

Em janeiro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por Hiddad e AhMyth.

1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

2.Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

3.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.

Os principais malwares de janeiro no Brasil

Em janeiro, o índice de ameaças do Brasil teve como principal malware o Qbot com impacto de 16,44%, pelo segundo mês consecutivo um índice que foi mais que o dobro do impacto global (6,50%). O Cerbu, um cavalo de Troia que grava arquivos em pastas temporárias do Windows, aparece em segundo lugar na lista do Brasil com impacto de 6,43%; e o XMRig ficou em terceiro com 5% de impacto.

Serviço
www.checkpoint.com