Nova campanha do Emotet contorna os bloqueios da Microsoft para distribuir arquivos maliciosos do OneNote
13 de abril de 2023Os pesquisadores descobriram uma nova campanha de malware para o Emotet Trojan, que se tornou o segundo malware mais prevalente no ranking global
No Índice Global de Ameaças, a Check Point Research relata sobre uma nova campanha do Emotet em março para escapar do bloqueio de macros da Microsoft, enviando e-mails de spam contendo arquivos maliciosos do OneNote; além disto, o Qbot segue em primeiro lugar no ranking de malware global e do Brasil com foco no roubo de credenciais bancárias.
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de março de 2023.
No mês passado, os pesquisadores descobriram uma nova campanha de malware para o Emotet Trojan, que se tornou o segundo malware mais prevalente no ranking global e o quinto na lista do Brasil.
Conforme relatado no início deste ano, os atacantes do Emotet têm explorado maneiras alternativas de distribuir arquivos maliciosos desde que a Microsoft anunciou que bloqueará macros de arquivos do Office.
Na última campanha, esses atacantes adotaram uma nova estratégia de envio de e-mails de spam contendo um arquivo malicioso do OneNote. Uma vez aberta, uma mensagem falsa aparece para induzir a vítima a clicar no documento, o qual baixa a infecção do Emotet.
Depois de instalado, o malware pode coletar dados de e-mail do usuário, como credenciais de login e informações de contato. Os cibercriminosos usam as informações coletadas para expandir o alcance da campanha e facilitar ataques futuros.
“Embora as grandes empresas de tecnologia façam o possível para eliminar os cibercriminosos o quanto antes, é quase impossível impedir que todos os ataques ignorem as medidas de segurança. Sabemos que o Emotet é um cavalo de Troia sofisticado e não é nenhuma surpresa ver que ele conseguiu navegar pelas mais recentes defesas da Microsoft. A coisa mais importante que as organizações e as pessoas podem fazer é garantir que tenham segurança de e-mail adequada, evitar o download de arquivos inesperados e adotar um ceticismo saudável sobre as origens de um e-mail e seu conteúdo”, explica Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
No Brasil, o Emotet aparece em quinto lugar no ranking de top malware com 5% de impacto (o impacto global é de 3,90%); em fevereiro este malware figurava na sétima posição.
Então, a nova campanha do Emotet em março para escapar do bloqueio de macros da Microsoft, enviando e-mails de spam contendo arquivos maliciosos do OneNote, o fez avançar no ranking.
Contudo, os brasileiros devem continuar atentos também em relação ao malware Qbot, um cavalo de Troia sofisticado que rouba credenciais bancárias e digitação de teclado.
O Qbot segue na liderança da lista nacional pelo quarto mês consecutivo e com alto impacto nas organizações no Brasil com índices de 16,58% em dezembro de 2022, 16,44% em janeiro de 2023, 19,84% em fevereiro e 21,63% em março. Estes índices do Qbot têm se mantido praticamente o dobro em relação aos respectivos globais.
A equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade global mais explorada em março, impactando 44% das organizações em todo o mundo, seguida pela “HTTP Headers Remote Code Execution”, com um impacto de 43%; enquanto a “MVPower DVR Remote Code Execution” foi a terceira vulnerabilidade mais usada, com um impacto global de 40%.
Principais famílias de malware
As setas referem-se à mudança na classificação em comparação com o mês anterior
Em março passado, o Qbot foi o malware mais difundidos no mês com um impacto de mais de 10% das organizações em todo o mundo, seguido pelo Emotet e Formbook ambos com 4%.
↔ Qbot – Qbot AKA Qakbot é um cavalo de Troia bancário que apareceu pela primeira vez em 2008, projetado para roubar as credenciais bancárias e as teclas digitadas do usuário.
Geralmente é distribuído por e-mails de spam e emprega várias técnicas antiVM, antidepuração e antisandbox para dificultar a análise e evitar a detecção.
↑ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas.
Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
↓ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo.
O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
A lista global completa das dez principais famílias de malware em fevereiro de 2023 pode ser encontrada no blog da Check Point Software.
Principais setores atacados no mundo e no Brasil
Quanto aos setores, em março, Educação/Pesquisa firmou-se na liderança da lista como o setor mais atacado globalmente, seguido por Governo/Militar e Saúde. Estes três setores ocupam estas mesmas posições na lista global da Check Point Software desde o mês de agosto de 2022.
– Educação/Pesquisa
– Governo/Militar
– Saúde
No Brasil, os três setores no ranking nacional mais visados em março passado foram:
– Governo/Militar
– Saúde
– Comunicações
Principais vulnerabilidades exploradas
Em março, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, impactando 44% das organizações no mundo, seguida pela “HTTP Headers Remote Code Execution”, ocupando o segundo lugar com impacto global de 43% das organizações.
A “MVPower DVR Remote Code Execution” ocupou o terceiro lugar das vulnerabilidades com um impacto global de 40%.
↑Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema afetado.
↑HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Os cabeçalhos HTTP permitem que o cliente e o servidor passem informações adicionais com uma solicitação HTTP. Um invasor remoto pode usar um cabeçalho HTTP vulnerável para executar um código arbitrário na máquina da vítima.
↑MVPower DVR Remote Code Execution — Existe uma vulnerabilidade de execução remota de código em dispositivos MVPower DVR. Um atacante remoto pode explorar essa fraqueza para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
Principais malwares móveis
Em março, o AhMyth subiu para o primeiro lugar como o malware móvel mais difundido, seguido por Anubis e Hiddad.
– AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é distribuído por meio de aplicativos Android que podem ser encontrados em lojas de aplicativos e vários sites.
Quando um usuário instala um desses aplicativos infectados, o malware pode coletar informações confidenciais do dispositivo e executar ações como keylogging, captura de tela, envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar informações confidenciais.
– Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
– Hiddad é um malware Android que reembala aplicativos legítimos e os libera em uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de março no Brasil
Em março, o ranking de ameaças do Brasil teve como principal malware o Qbot com impacto de 21,63%, pelo quarto mês consecutivo um índice que foi mais que o dobro do impacto global (10,30%).
O AgentTesla subiu para o segundo lugar com impacto de 7,16%, enquanto o Remcos foi para o terceiro lugar com impacto de 6,49%.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis.
A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.
A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.
O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção. A Check Point Software protege mais de 100.000 organizações de todos os portes.
Check Point Software identifica um cavalo de Troia que se passa pelo aplicativo 3CXDesktop VoIP
Check Point Software lança serviços globais de resiliência cibernética de ponta a ponta
Check Point Software comenta sobre os ataques DDoS do Killnet contra a OTAN nesta semana
Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!