Malware que rouba credenciais bancárias “lacrou” em 2023 e retorna em 2024
11 de janeiro de 2024Os pesquisadores da Check Point Research (CPR) descobriram o ressurgimento do malware Qbot, que foi detectado em tentativas de phishing dirigidas ao setor de hotelaria; já o Chaes, um ladrão de informações usado para roubar dados em e-commerce volta a crescer no Brasil
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de dezembro de 2023.
Os pesquisadores da CPR informaram o retorno do Qbot, quatro meses depois de as autoridades policiais internacionais e dos Estados Unidos terem desmantelado a sua infraestrutura na Operação Duck Hunt em agosto de 2023.
Enquanto isso, o downloader de JavaScript FakeUpdates saltou para o primeiro lugar no ranking global do final do ano.
Em dezembro do ano passado, o malware Qbot foi utilizado pelos cibercriminosos como parte de um ataque de phishing de escala limitada dirigido a organizações do setor de hotelaria.
Na campanha, os pesquisadores da CPR descobriram que os hackers se fizeram passar pela Receita Federal dos Estados Unidos (o órgão IRS – Internal Revenue Service) e enviaram e-mails maliciosos contendo anexos PDF com URLs incorporadas ligadas a um instalador da Microsoft.
Uma vez ativado, este instalador desencadeava uma versão invisível do Qbot que se aproveitava de uma biblioteca Dynamic Link Library (DLL) incorporada.
Anterior a agosto de 2023, o Qbot dominava o índice de ameaças, tanto globalmente como no Brasil, classificando-se como um dos três malwares mais prevalentes durante dez meses consecutivos.
Embora não tenha voltado entre os Top 10 Malwares do índice, os próximos meses determinarão se o Qbot recuperará a notoriedade que tinha previamente.
Entretanto, o FakeUpdates continuou a sua ascensão ao topo depois de ter reaparecido no final de 2023, alcançando o primeiro lugar do ranking global com um impacto de 2%.
O Nanocore também manteve uma posição entre os cinco primeiros durante seis meses consecutivos, ocupando o terceiro lugar em dezembro; e registraram-se novas entradas dos malwares Ramnit e Glupteba.
“Ver o Qbot de volta ao cenário menos de quatro meses depois de a sua infraestrutura de distribuição ter sido desmantelada é um lembrete de que, embora possamos interromper as campanhas de malware, os cibercriminosos por trás delas se adaptarão às novas tecnologias”, alerta Maya Horowitz, vice-presidente de pesquisa da Check Point Software.
“É por isso que as organizações são orientadas a adotar uma abordagem preventiva à segurança dos endpoints e a realizar a devida diligência sobre as origens e a intenção de um e-mail”, completa Maya.
A equipe da CPR também revelou que “Apache Log4j Remote Code Execution (CVE-2021-44228) e “Web Servers Malicious URL Directory Traversal” foram as vulnerabilidades mais exploradas, afetando 46% das organizações em todo o mundo. A “Injeção de comandos Zyxel ZyWALL (CVE-2023-28771)” veio na sequência com um impacto global de 43%.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
O FakeUpdates e o Formbook foram os malwares mais prevalentes em dezembro de 2023, com um impacto de 2% nas organizações mundiais, seguidos pelo Nanocore, com um impacto global de 1%.
↑ FakeUpdates – Fakeupdates (também conhecido como SocGholish) é um downloader escrito em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates levou a comprometimentos adicionais por meio de muitos malwares adicionais, incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↓ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
↑ Nanocore – É um Trojan de Acesso Remoto (RAT) que tem como alvo os usuários do sistema operacional Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de tela, mineração de criptomoedas, controle remoto do ambiente de trabalho e roubo de sessões de webcam.
A lista global completa das dez principais famílias de malware em dezembro de 2023 pode ser encontrada no blog da Check Point Software.
Principais setores atacados no mundo e no Brasil
Em dezembro de 2023, a Educação/Pesquisa continuou a ser o setor mais atacado a nível mundial, seguido das Comunicações e do Governo/Forças Armadas.
1.Educação/Pesquisa
2.Comunicações
3.Governo/Forças Armadas
No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de dezembro foram:
1. Utilities (média de 1.891 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023)
2. Transportes (média de 1.744 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023)
3. Governo/Forças Armadas (média de 1.951 ataques semanais por organização nos últimos seis meses – julho a dezembro 2023)
Principais vulnerabilidades exploradas
Em dezembro, “Apache Log4j Remote Code Execution (CVE-2021-44228)” e “Web Servers Malicious URL Directory Traversal” foram as vulnerabilidades mais exploradas, afetando 46% das organizações a nível mundial, seguidas da “Zyxel ZyWALL Command Injection (CVE-2023-28771)” com um impacto global de 43%.
1. ↑ Execução remota de código do Apache Log4j (Apache Log4j Remote Code Execution – CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
2. ↔ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores web. A vulnerabilidade se deve a um erro de validação de entrada em um servidor web que não limpa adequadamente o URI para os padrões de passagem de diretório. A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
3. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Existe uma vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração bem-sucedida desta vulnerabilidade permitiria que atacantes remotos executassem comandos arbitrários do sistema operacional no sistema afetado.
Principais malwares móveis
Em dezembro, o Anubis permaneceu em primeiro lugar como o malware móvel mais difundido, seguido por AhMyth e Hiddad.
1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites. Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
3.Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de dezembro no Brasil
Em dezembro, o ranking de ameaças do Brasil contou com o Chaes na liderança do ranking com impacto de cerca de 3%; em segundo lugar, o Fakeupdates cujo impacto foi de 2,76% (pouco a mais que o global de 2,32%); enquanto o Nanocore permaneceu em terceiro lugar com impacto de cerca de 2%.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis.
A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
Alerta: malware de roubo de credenciais para acesso remoto lidera ranking mensal do Brasil
Proofpoint mapeia malware que tem como alvo bancos brasileiros
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.