O uso do trojan bancário Ursnif cresceu, de acordo com o último Índice Global de Ameaças referente ao mês de maio de 2020, relatório da Check Point Research, braço de Inteligência em Ameaças da Check Point. Os pesquisadores descobriram várias campanhas maliciosas de spam distribuindo este trojan, que fez com que este malware subisse da 19ª para a quinta posição na lista, duplicando seu impacto nas organizações em todo o mundo.
O Ursnif tem como alvo computadores com o sistema operacional Windows e é capaz de roubar informações financeiras e de acesso de e-mail, entre outros dados confidenciais. O Ursnif é distribuído em campanhas de spam malicioso por meio de anexos de arquivos Word ou Excel. A nova onda de ataques de trojan Ursnif, o qual aparece pela primeira vez no Top 10 malware, coincide com os relatórios sobre a ausência de uma de suas variantes populares, o Dreambot.
Isto provavelmente aconteceu porque o Dreambot, descoberto pela primeira vez em 2014, é baseado no código-fonte vazado de Ursnif. Conforme relatado desde março de 2020, o servidor back-end do Dreambot caiu e nenhuma nova amostra dele foi identificada até agora. Enquanto isso, o trojan bancário Dridex, que entrou no Top 10 de malware pela primeira vez em março, continuou a ter um impacto significativo em maio, permanecendo em 1º lugar pelo segundo mês consecutivo.
Confira a lista (as setas estão relacionadas à alteração na classificação em comparação com o mês anterior):
Dridex- É um Trojan bancário direcionado à plataforma Windows e é distribuído via campanhas de spam e kits de exploração, os quais contam com o WebInjects para interceptar e redirecionar credenciais bancárias para um servidor controlado por atacante. O Dridex entra em contato com um servidor remoto, envia informações sobre o sistema infectado e pode baixar e executar módulos adicionais para controle remoto.
Agent Tesla – É um RAT (remoteaccesstrojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook). O Agent Tesla chegou a ser vendido publicamente como um Trojan de Acesso Remoto a valores entre US?15 e US?69 por cada licença de usuário.
XMRig– É um software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda Monero e visto pela primeira vez em maio de 2017.
Quanto às principais famílias de malware móvel, essas foram completamente alteradas em maio, com o malware Android que gera receita fraudulenta ao clicar em anúncios para dispositivos móveis, liderando a lista de ameaças móveis e mostrando como os cibercriminosos tentam monetizar ataques contra dispositivos móveis. Confira:
PreAmo- um malware Android que imita o usuário clicando em banners recuperados de três agências de publicidade: Presage, Admob e Mopub.
Necro- é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.
Hiddad– O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de maio no Brasil:
O XMRig continua liderando a lista Top 10 de malware do Brasil: impactou 18,26% em janeiro,11,13% em fevereiro, 7% em março, 4,99% em abril e 3,88% em maio.
O Dridex impactou 1,68% em março – 9ª posição no ranking Top Malware – e, em abril, seu impacto foi de 2,45%, ocupando o 2º lugar e manteve esta posição em maio com 2,35% de impacto.
O Ursnif não aparece no ranking do Brasil.
O Índice de Impacto Global de Ameaças da Check Point e seu Mapa ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o cibercrime que fornece dados de ameaças e tendências de ataques de uma rede global de sensores de ameaças. A base de dados do ThreatCloud inspeciona mais de 2,5 bilhões de sites e 500 milhões de arquivos por dia e identifica mais de 250 milhões de atividades de malware diariamente.