Atenção: malware induz usuários a executarem atualizações falsas do navegador

Os pesquisadores da CPR descobriram uma nova campanha AsyncRAT na qual arquivos HTML maliciosos foram usados para disseminar malware oculto.

Enquanto isso, o downloader ou carregador de JavaScript, o Fakeupdates, saltou direto para o segundo lugar no ranking global após uma pausa de dois meses na lista entre os dez primeiros; e a Educação/Pesquisa continuou sendo o setor mais impactado por ataques em todo o mundo.

O malware AsyncRAT é um trojan de acesso remoto (RAT) conhecido por sua capacidade de monitorar e controlar remotamente sistemas de computador sem detecção. O malware utiliza vários formatos de arquivo, como PowerShell e BAT, para realizar a injeção de processos.

Na campanha do AsyncRAT durante o mês de novembro, os destinatários receberam um e-mail contendo um link incorporado. Uma vez clicado, o link acionava o download de um arquivo HTML malicioso, o que gerava uma sequência de eventos que significava que o malware poderia se camuflar como um aplicativo confiável para evitar sua detecção.

Além disso, o downloader Fakeupdates retornou à lista dos principais malwares após um intervalo de dois meses e é um dos carregadores de malware mais populares entre os cibercriminosos. Escrito em JavaScript, a estrutura de distribuição de malware implanta sites comprometidos para induzir os usuários a executar atualizações falsas do navegador. Isso levou a novos comprometimentos por meio de muitos outros malwares, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

No Brasil, o Fakeupdates assumiu a liderança do ranking local de Top Malware em novembro com um índice quase três vezes maior que o global, com 9,06% de impacto. O Fakeupdates (também conhecido por AKA SocGholish) é um downloader escrito em JavaScript que se comunica via HTTP. Os tipos de carga suportados incluem executáveis e JavaScript, ele grava as cargas no disco antes de iniciá-las e usando uma ampla rede de sites comprometidos que oferecem atualizações falsas.

“As ameaças cibernéticas de novembro demonstram como os atacantes utilizam métodos aparentemente inócuos para se infiltrarem nas redes. A ascensão da campanha AsyncRAT e o ressurgimento do Fakeupdates destacam uma tendência em que os atacantes usam simplicidade enganosa para contornar as defesas tradicionais”, alerta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.

“Isto sublinha a necessidade de as organizações adotarem uma abordagem de segurança em camadas e que não se baseie apenas no reconhecimento de ameaças conhecidas, mas que também tenha a capacidade de identificar, prevenir e responder a novos vetores de ataque antes que estes causem danos.”

A equipe da CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade global mais explorada em novembro, impactando 45% das organizações em todo o mundo, seguida pela “Web Servers Malicious URL Directory Traversal” com iguais 42% e pela “Zyxel ZyWALL Command Injection (CVE-2023-28771)” em terceiro lugar com impacto global de 41% nas organizações.

Principais famílias de malware
Em novembro, o Formbook foi o malware mais difundido no mês com um impacto de 3% das organizações em todo o mundo, seguido pelo Fakeupdates com impacto global de 2% e o Remcos também com 1%.

Principais setores atacados no mundo e no Brasil
Quanto aos setores, em novembro, Educação/Pesquisa permaneceu na liderança da lista como o setor mais atacado globalmente, seguido por Comunicações e Governo/Militar.

Educação/Pesquisa
Comunicações
Governo/Militar

No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de novembro foram:

Utilities (média de 1.993 ataques semanais por organização nos últimos seis meses – junho a novembro)
 Governo/Militar (média de 2.006 ataques semanais por organização nos últimos seis meses – junho a novembro)
Comunicações (média de 1.983 ataques semanais por organização nos últimos seis meses – junho a novembro)

Principais vulnerabilidades exploradas
Em novembro, a equipe da CPR também revelou que a “Command Injection Over HTTP” foi a vulnerabilidade mais explorada, impactando 45% das organizações no mundo, seguida pela “Web Servers Malicious URL Directory Traversal”, ocupando o segundo lugar com impacto global de 42% das organizações. A “Zyxel ZyWALL Command Injection (CVE-2023-28771)” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 41%.

Principais malwares móveis
Em novembro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e SpinOk.

Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.

AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.

SpinOk é um módulo de software Android que funciona como spyware. Ele coleta informações sobre arquivos armazenados em dispositivos e pode transferi-los para agentes de ameaças mal-intencionados. O módulo malicioso foi encontrado presente em mais de 100 aplicativos Android e baixado mais de 421 milhões de vezes até maio de 2023.

Os principais malwares de novembro no Brasil
Em novembro, o ranking de ameaças do Brasil contou com o Fakeupdates na primeira posição com impacto de 9,06% (contra 2,49% de impacto global); em segundo lugar, o Chaes cujo impacto foi de 3,02%; enquanto o Nanocore permaneceu em terceiro lugar com impacto de 2,09%.