A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, divulgou o Índice Global de Ameaças referente ao mês de março de 2022. Os pesquisadores relatam que o Emotet continua seu "reinado" como o malware mais popular, impactando 10% das organizações em todo o mundo, dobrando seu porcentual em comparação com o mês de fevereiro, influenciado por golpes com temas da Páscoa.
O Emotet é um cavalo de Troia avançado, autopropagável e modular que usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Desde seu retorno em novembro do ano passado e as recentes notícias de que o Trickbot foi encerrado, o Emotet vem fortalecendo sua posição como o malware mais predominante.
Isso se solidificou ainda mais em março, pois muitas campanhas de e-mail agressivas distribuíram o botnet, incluindo vários golpes de phishing com tema de Páscoa explorando o agito em torno das festividades dessa data. Esses e-mails foram enviados para vítimas em todo o mundo, com um exemplo em que a linha do assunto era "buona pasqua, feliz páscoa", mas anexado ao e-mail havia um arquivo XLS malicioso para disseminar e "instalar" o Emotet.
Em março, o AgentTesla, o RAT avançado que funciona como keylogger e ladrão de informações, é o segundo malware mais prevalente, após aparecer em quarto lugar no índice de fevereiro. A ascensão do AgentTesla se deve a várias novas campanhas de spam mal-intencionado que disseminam o RAT por meio de arquivos xlsx/pdf maliciosos em todo o mundo. Algumas dessas campanhas alavancaram o tema da guerra Rússia/Ucrânia para atrair vítimas.
A CPR ainda observou que o Apache Log4j se tornou a vulnerabilidade mais explorada novamente. Mesmo depois de toda a conversa sobre essa vulnerabilidade no final do ano passado, ela ainda está causando danos meses após a detecção inicial. Os pesquisadores alertam que as organizações precisam tomar medidas imediatas para evitar que os ataques aconteçam
Principais famílias de malware
Em março, o Emotet ainda foi o malware mais popular, afetando 10% das organizações em todo o mundo, seguido pelo AgentTesla e XMRig, ambos impactando 2% das empresas, cada um.
Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
XMRig – É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Principais setores atacados
Em março, Educação/Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e ISP/MSP. Já no Brasil, os três setores no ranking nacional mais visados em março foram Integrador de Sistemas/Distribuidor, Varejo/Atacado e Governo/Militar.
Principais vulnerabilidades exploradas
Em março, a equipe da CPR também revelou que a "Apache Log4j Remote Code Execution" foi a vulnerabilidade mais comumente explorada, impactando 33% das organizações globalmente, seguida por "Web Server Exposed Git Repository Information Disclosure" que caiu do primeiro para o segundo lugar e impacta 26% das organizações em todo o mundo. A "HTTP Headers Remote Code Execution" manteve-se ainda como a terceira vulnerabilidade mais explorada, com um impacto global de 26%.
Principais malwares móveis
Em março, o AlienBot foi o malware móvel mais prevalente, seguido por xHelper e FluBot.
AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Os principais malwares de março no Brasil
O principal malware no Brasil em março prosseguiu sendo o Emotet que apresentou o índice de 6,86% de impacto nas organizações brasileiras; em segundo lugar foi o Chaes (6,34%) no ranking nacional no mês passado, enquanto o Glupteba (2,88%) ocupou o terceiro lugar.
Em relação ao "novato" Chaes, que aparece pela primeira vez no ranking nacional e em segundo lugar, é um ladrão de informações usado para roubar dados confidenciais do cliente, como credenciais de login e informações financeiras. Este malware é conhecido por usar técnicas de evasão para evitar detecções de antivírus. Chaes foi visto no passado visando clientes de plataformas de comércio eletrônico, principalmente na América Latina.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
