Qbot se apresenta como principal malware no Brasil para roubo de credenciais

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de maio de 2023. No mês passado, os pesquisadores relataram uma nova versão do downloader GuLoader baseado em shellcode, que foi o quarto malware mais prevalente de maio. Com cargas úteis totalmente criptografadas e técnicas contra análises, o formulário mais recente pode ser armazenado sem ser detectado em serviços de Nuvem pública conhecidos, incluindo o Google Drive. Enquanto isso, o Qbot e Anubis (malware móvel) ficaram em primeiro lugar em suas respectivas listas; e Educação/Pesquisa continuou sendo o setor mais explorado no mundo.

O malware GuLoader, amplamente utilizado por cibercriminosos para burlar a detecção de antivírus, passou por mudanças significativas. A última renovação emprega uma técnica sofisticada de substituição de código em um processo legítimo, facilitando sua evasão das ferramentas de segurança de monitoramento de processos. As cargas (payloads) são totalmente criptografadas e armazenadas sem serem detectadas em serviços renomados de Nuvem públicas, incluindo o Google Drive. Essa combinação exclusiva de criptografia, formato binário bruto e separação do carregador torna as cargas invisíveis para programas antivírus, representando uma ameaça significativa para usuários e empresas em todo o mundo.

No mês passado, Qbot e Anubis também ficaram em primeiro lugar em suas respectivas listas. Apesar dos esforços para desacelerar a distribuição de malware bloqueando macros em arquivos do Office, os operadores do Qbot foram rápidos em adaptar sua distribuição e entrega. Recentemente, o Qbot foi visto abusando de uma falha de sequestro de biblioteca de códigos e Dados (DLL – Dynamic-Link Library) no programa WordPad do Windows 10 para infectar computadores.

No ranking do Brasil, o malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado, se firma como principal ameaça. O Qbot aparece na liderança da lista nacional há seis meses consecutivos e mantém o alto impacto nas organizações no Brasil com índices de 13,94% em maio, 19,10% em abril, 21,63% em março, 19,84% em fevereiro, 16,44% em janeiro e de 16,58% em dezembro de 2022. São todos índices superiores aos do ranking mundial, os quais se mantêm praticamente o dobro em relação aos respectivos globais.

“Ferramentas e serviços públicos estão sendo cada vez mais explorados por cibercriminosos para entregar e armazenar campanhas de malware. A confiabilidade de uma fonte não garante mais segurança total”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

“Isso destaca a necessidade urgente de educação sobre a identificação de atividades suspeitas. Nós desaconselhamos a divulgação de informações pessoais ou o download de anexos, a menos que a autenticidade e a natureza bem-intencionada da solicitação tenham sido confirmadas. Além disso, é crucial ter soluções de segurança avançadas, como Check Point Horizon XDR /XPR, que pode efetivamente identificar se um comportamento supostamente benigno é realmente malicioso, fornecendo uma camada extra de proteção contra ameaças sofisticadas”, reforça Maya.

A equipe da CPR também revelou que a “Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade global mais explorada em maio, impactando 49% das organizações em todo o mundo, seguida pela “Apache Log4j Remote Code Execution” e pela “HTTP Headers Remote Code Execution”, com impactos de 45% e 44%, respectivamente, nas organizações.

Principais setores atacados no mundo e no Brasil
Quanto aos setores, em maio, Educação/Pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido desta vez por Governo/Militar e Saúde.

1.Educação/Pesquisa
2.Governo/Militar
3.Saúde

No Brasil, os quatro setores no ranking nacional mais visados em maio, e que permaneceram nas mesmas posições indicadas em abril, foram:

1.Comunicações
2.Utilities
3.Governo/Militar
4.Saúde

Os principais malwares de maio no Brasil
Em maio, o ranking de ameaças do Brasil manteve como principal malware o Qbot, pelo sexto mês consecutivo na liderança, com impacto de 13,94%, um índice que continua sendo mais que o dobro do impacto global (5,88%). O Emotet caiu para o terceiro lugar com impacto de 3,73%, enquanto o XMRig subiu para o segundo lugar com impacto de 4,79%.