Cibercriminosos passam a adotar o malware Trickbot para novas campanhas de spam

A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point, divulgou o Índice Global de Ameaças referente ao mês de fevereiro de 2021. Os pesquisadores relataram que o trojan Trickbot liderou o índice pela primeira vez, saindo da terceira posição na qual estava em janeiro. No Brasil, o Trickbot aparece em terceiro lugar no ranking de ameaças do País com o impacto de 4,26% nas organizações, índice maior que o global (3,17%).

Após a tomada do controle da infraestrutura do botnet Emotet em janeiro, os pesquisadores da Check Point relataram que grupos cibercriminosos agora estão usando novas técnicas com malwares, passando a adotar o Trickbot, para continuar suas atividades maliciosas. Durante o mês de fevereiro, o Trickbot estava sendo distribuído por meio de uma campanha de spam mal-intencionada, elaborada para enganar os usuários nos setores jurídico e de seguros para fazer o download de um arquivo .zip contendo um arquivo JavaScript malicioso para seus PCs. Depois que esse arquivo é aberto, ele tenta baixar outra carga (payload) maliciosa de um servidor remoto.

O Trickbot foi o quarto malware mais prevalente globalmente durante 2020, afetando 8% das organizações. Ele desempenhou um papel fundamental em um dos ciberataques mais caros e de maior visibilidade de 2020, o qual atingiu o Universal Health Services (UHS), um provedor de serviços de saúde nos Estados Unidos. O UHS foi atingido pelo ransomware Ryuk e a instituição afirmou que o ataque custou US$ 67 milhões em receitas e custos perdidos. O Trickbot foi usado pelos atacantes para detectar e colher dados dos sistemas do UHS e, em seguida, entregar a carga útil (payload) do ransomware.

“Os criminosos continuarão usando as ameaças e ferramentas existentes que têm disponíveis, e o Trickbot é popular devido à sua versatilidade e seu histórico de sucesso em ataques anteriores,” afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR). “Mesmo quando uma grande ameaça é removida, há muitas outras que continuam a representar um alto risco nas redes em todo o mundo, portanto, as organizações devem garantir que têm sistemas de segurança robustos em funcionamento para evitar que suas redes sejam comprometidas e minimizar os riscos. O treinamento abrangente para todos os funcionários é crucial, para que eles estejam preparados com as habilidades necessárias para identificar os tipos de e-mails maliciosos que espalham o Trickbot e outros malwares”, reforça Maya.

A Check Point Research também alerta que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade explorada mais comum em fevereiro, afetando 48% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que impactou 46% das organizações em todo o mundo . A “MVPower DVR Remote Code Execution” apareceu em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.

Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em fevereiro, o Trickbot foi classificado como o malware mais popular, com um impacto global de 3% das organizações, seguido de perto pelo XMRig e o Qbot, que também impactaram 3% das organizações em todo o mundo respectivamente.

↑ Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.

↑ XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.

↑ Qbot – Qbot é um trojan bancário que apareceu pela primeira vez em 2008, desenvolvido para roubar as credenciais bancárias e keystrokes (pressionamento das teclas) pelos usuários. Frequentemente distribuído por e-mail de spam, o Qbot emprega várias técnicas anti-VM, anti-depuração e anti-sandbox para impedir a análise e evitar a detecção.

Principais vulnerabilidades exploradas
Em fevereiro, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade explorada mais comum, afetando 48% das organizações globalmente, seguida pela “HTTP Headers Remote Code Execution (CVE-2020-13756)” que impactou 46% das organizações em todo o mundo. A “MVPower DVR Remote Code Execution” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas com um impacto global de 45%.

↑ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

↔ HTTP Headers Remote Code Execution (CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar código arbitrário na máquina da vítima.

↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.

Principais malwares móveis
Em fevereiro, o Hiddad ocupou o primeiro lugar como malware móvel mais prevalente, seguido por xHelper e FurBall.

Hiddad – Um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.

xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

FurBall – Um Android MRAT (trojan de acesso remoto móvel) que é implementa pelo APT-C-50, um grupo APT iraniano conectado ao governo do Irã. Este malware foi usado em várias campanhas desde 2017 e ainda se encontra ativo atualmente. Os recursos do FurBall incluem roubo de mensagens SMS, registros de chamadas, gravação surround, gravação de chamadas, coleta de arquivos de mídia, rastreamento de localização, entre outros.

Os principais malwares de fevereiro no Brasil
O principal malware no Brasil em fevereiro de 2021 foi novamente o XMRig (como indicado em janeiro), cujo impacto nas organizações no mundo foi de 3,08%, ao passo que no Brasil o índice foi de 7,04% (em janeiro foi de 6,41%) das organizações brasileiras impactadas.

Top Malware Brasil:

1o. XMRig: Impacto Global 3,08% / Impacto Brasil 7,04%
2o. Lucifer: Impacto Global 0,84% / Impacto Brasil 5,24%
3o. Trickbot: Impacto Global 3,17% / Impacto Brasil 4,26%

Imagem: Divulgação Check Point