A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd, divulgou o Índice Global de Ameaças referente ao mês de agosto de 2021. Os pesquisadores relataram que o Formbook (um infostealer) é agora o malware mais predominante no ranking mensal no mundo, assumindo o lugar de liderança do Trickbot, o qual caiu para o segundo lugar após ter liderado o índice por três meses consecutivos.
No mundo, 4,5% das organizações foram impactadas pelo Formbook, enquanto no Brasil, 5,25% delas sofreram seu impacto durante o mês de agosto. Visto pela primeira vez em 2016, o Formbook é um infostealer que rouba credenciais de vários navegadores da web, captura imagens, monitora e registra digitação de teclas e pode baixar e executar arquivos de acordo com as ordens de comando e controle (C&C).
Recentemente, o Formbook foi distribuído por meio de campanhas maliciosas com o tema COVID-19 e em e-mails de phishing; em julho de 2021, a CPR relatou?que uma nova família de malware derivada de Formbook, chamada XLoader, agora passava a ter como alvo também os usuários do macOS.
"O código do Formbook é escrito em linguagem C com inserções de montagem e contém uma série de truques para torná-lo mais evasivo e difícil para os pesquisadores o analisarem", afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. "Como geralmente é distribuído por meio de e-mails e anexos de phishing, a melhor maneira de evitar uma infecção do Formbook é estar atento a quaisquer e-mails que pareçam estranhos ou venham de remetentes desconhecidos."
Quanto ao cavalo de Troia bancário Qbot, cujos operadores são conhecidos por fazerem pausas durante o meio do ano, este desceu no ranking completamente, saindo do Top 10 após uma longa permanência; ao passo que o Remcos, um cavalo de Troia de acesso remoto (RAT), entrou no índice pela primeira vez em 2021, ocupando o sexto lugar.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em agosto, o Formbook foi o malware mais popular com um impacto global de 4,5% das organizações, seguido por Trickbot e Agent Tesla, sendo que cada um afetou 4% e 3% das organizações em todo o mundo respectivamente.
- ? Formbook – É um "ladrão" de informações que coleta credenciais de vários navegadores da web e imagens, monitora e registra pressionamentos de tecla e pode baixar e executar arquivos de acordo com seus pedidos de C&C.
- ? Trickbot – É um trojan bancário dominante, constantemente atualizado com novos recursos e vetores de distribuição, permitindo que seja um malware flexível e personalizável que pode ser distribuído como parte de campanhas multifuncionais.
- ? Agent Tesla – É um RAT (Remote Access Trojan) avançado que funciona como um keyloggere ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
Principais vulnerabilidades exploradas
Em agosto, a equipe da Check Point Research também revelou que a vulnerabilidade mais comum explorada foi a "Web Server Exposed Git Repository Information Disclosure", afetando 45% das organizações globalmente, seguida pela "HTTP Headers Remote Code Execution", que impactou 43% das organizações no mundo todo. A vulnerabilidade "Dasan GPON Router Authentication Bypass" ocupou o terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 40%.
? Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
? HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os HTTP Headers permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um atacante remoto pode usar um HTTP Header vulnerável para executar um código arbitrário na máquina da vítima.
?Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Vulnerabilidade de autenticação bypass que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permitirá a atacantes remotos a obtenção de informação sensível e o acesso não autorizado ao sistema infetado.
Principais malwares móveis
Em agosto, o xHelper ocupou o primeiro lugar no índice de malware móvel mais prevalente, seguido por AlienBot e FluBot.
- xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
- AlienBot– A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
- FluBot– É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.
Os principais malwares de agosto no Brasil
O principal malware no Brasil em agosto de 2021 foi o XMRig, o qual retornou à liderança da lista do País com 5,32% de impacto nas organizações. Visto pela primeira vez em maio de 2017, o XMRig é um software de criptomineração de CPU de código aberto usado para minerar a criptomoeda Monero.
Com uma pequena diferença em relação ao XMRig, o Formbook aparece em segundo lugar no Brasil, com 5,25% das organizações impactadas por este infostealer. Já o Trickbot figura no terceiro lugar com 4,58% das organizações sendo afetadas por ele.
O Índice de impacto de ameaças globais da Check Point e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o crime cibernético que fornece dados de ameaças e tendências de ataque de uma rede global de sensores de ameaças. O banco de dados da ThreatCloud inspeciona mais de 3 bilhões de sites e 600 milhões de arquivos diariamente e identifica mais de 250 milhões de atividades de malware todos os dias.
[…] dados afetaram mais de 5% das organizações no Brasil somente em agosto de 2021, segundo estudo da Check Point Research. Em nível global, as perdas causadas por ransomwares chegaram à casa dos 20 bilhões de dólares […]