Crescem os ataques por malware distribuído por e-mail com arquivos em PDF anexados

1

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de maio de 2022. Os pesquisadores relatam que o Emotet, um cavalo de Troia avançado, autopropagável e modular que usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção, ainda é o mais prevalente no mundo e no Brasil como resultado de várias campanhas generalizadas. Além disso, em maio, o malware Snake Keylogger saltou para o oitavo lugar após uma longa ausência no índice; sua principal funcionalidade é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os atacantes.

O Snake Keylogger geralmente é distribuído por e-mails que incluem anexos com extensões docx ou xlsx com macros maliciosas. No entanto, em maio, os pesquisadores da CPR relataram que o Snake Keylogger foi disseminado por meio de arquivos PDF. Isso pode ser devido, em parte, ao bloqueio da Microsoft por macros padrão da Internet no Office, o que significa que os cibercriminosos tiveram que se tornar mais criativos, explorando novos tipos de arquivos, como PDFs. Essa maneira rara de distribuir o malware está se mostrando bastante eficaz, pois algumas pessoas percebem que os documentos PDFs são inerentemente mais seguros do que outros tipos de arquivo.

Em relação ao Emotet, este malware está impactando 8% das organizações em todo o mundo, um ligeiro aumento em relação ao mês de abril. O Emotet é um malware ágil que se mostra lucrativo devido à sua capacidade de permanecer indetectável. Sua persistência também dificulta a remoção após a infecção de um dispositivo, tornando-o a ferramenta perfeita no arsenal de um cibercriminoso. Originalmente um cavalo de Troia bancário, é frequentemente distribuído por e-mails de phishing e tem a possibilidade de oferecer outros malwares, aumentando sua capacidade de causar danos generalizados.

"Como é evidenciado pelas mais recentes campanhas do Snake Keylogger, tudo o que publicamos online coloca-nos em risco de um ciberataque, e abrir um arquivo PDF não é exceção. Vírus e códigos executáveis maliciosos podem se esconder em conteúdo multimídia e links com o ataque de malware, neste caso o Snake Keylogger, o qual está pronto para atacar assim que o usuário abrir um arquivo PDF", afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.

"Portanto, assim como questionaríamos a legitimidade de um arquivo docx ou xlsx no anexo de um e-mail, devemos ter a mesma cautela em relação aos PDFs. No panorama atual, nunca foi tão importante às organizações ter uma solução robusta de segurança de e-mail que coloque em quarentena e inspecione anexos, evitando que arquivos maliciosos entrem na rede em primeiro lugar", reforça Maya.

Lista de setores e vulnerabilidades de maio

A CPR também revelou que, em maio, Educação e Pesquisa prosseguiu como primeiro na lista de setores mais atacados globalmente por cibercriminosos. A "Web Servers Malicious URL Directory Traversal" foi a principal vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida (praticamente "colada") pela "Apache Log4j Remote Code Execution" com igual impacto global de 46%. A "Web Server Exposed Git Repository Information Disclosure" foi a vulnerabilidade que ocupou o terceiro lugar no índice com um impacto global de 45%.

Principais famílias de malware

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

Em maio, o Emotet ainda foi o malware mais popular, afetando 8% das organizações em todo o mundo, seguido pelo Formbook que impactou 2% das organizações e o AgentTesla também com impacto de 2%, respectivamente em segundo e terceiro lugares.

? Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

? Formbook – É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

? AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).

Quanto aos setores, em maio, Educação e Pesquisa continuou sendo o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers & Managed Service Providers (ISP/MSP), mesmo ranking dos meses de março e abril.

1.Educação/Pesquisa

2.Governo/Militar

3.Internet Service Providers (ISP)/Managed Service Providers (MSP

No Brasil, os três setores no ranking nacional mais visados em maio foram:

1.Integrador de Sistemas/VAR/Distribuidor

2.Varejo/Atacado

3.Governo/Militar

O setor de Educação/Pesquisa ficou em sexto lugar no ranking nacional.

Principais vulnerabilidades exploradas

Em maio, a equipe da CPR também revelou que a "Web Servers Malicious URL Directory Traversal"  foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, com a "Apache Log4j Remote Code Execution" "coladinha" e em segundo lugar com impacto global também de 46%. A "Web Server Exposed Git Repository Information Disclosure" ficou em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.

? Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor Web que não limpa adequadamente a URI (Uniform Resource Identifier) para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.

? Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

? Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

Principais malwares móveis

Em maio, os malwares móveis mantiveram-se nas mesmas posições do índice de abril: o AlienBot foi o malware móvel mais prevalente, seguido por FluBot e xHelper.

1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

2.FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

3.xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

Os principais malwares de maio no Brasil

O principal malware no Brasil em maio voltou a ser o Emotet, reassumindo a liderança com 23,55% de impacto das organizações. O Chaes desceu para o segundo lugar (6,88%) no ranking nacional; este  malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros. Em terceiro lugar apareceu o malware PseudoManuscrypt (3,75%), um spyware usado em campanhas de espionagem que ameaçam principalmente organizações governamentais e sistemas de controle industrial. Este spyware tem recursos avançados de espionagem, incluindo capturas de tela da vítima e coleta de credenciais de autenticação VPN.

 

O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui