Nova versão do Qbot aparece pela primeira vez na lista de malware da Check Point
10 de setembro de 2020Uma evolução do Qbot foi descoberta no final de agosto, sendo que sua nova variante foi distribuída por meio de campanhas de malware
A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, divulgou o Índice Global de Ameaças referente ao mês de agosto de 2020.
Os pesquisadores identificaram que o cavalo de Troia Qbot, também conhecido como Qakbot e Pinkslipbot, ingressou na lista mensal dos dez principais malwares pela primeira vez, classificando-se na 10º posição, enquanto o trojan Emotet permanece liderando o índice de malware pelo segundo mês, afetando 14% das organizações em nível global.
No Brasil, o Emotet também se mantém no 1º. lugar da lista nacional com 16,60% de impacto nas organizações.
Visto pela primeira vez em 2008, o Qbot tem sido continuamente desenvolvido e, agora, usa técnicas sofisticadas de roubo de credenciais e instalação de ransomware, tornando-o o equivalente de malware a um canivete suíço, de acordo com os pesquisadores.
O Qbot também traz um novo recurso perigoso: um módulo coletor de e-mail especializado que extrai histórico de conversas (threads) de e-mail do cliente Outlook da vítima e os carrega para um servidor remoto externo.
Isso proporciona ao Qbot sequestrar essas conversas de e-mail legítimos de usuários infectados e, em seguida, enviar spam usando esses e-mails sequestrados para aumentar suas chances de enganar outros usuários para que também sejam infectados. O Qbot pode ainda permitir transações bancárias não autorizadas, possibilitando ao cibercriminoso o controle e a sua conexão ao computador da vítima.
Os pesquisadores da Check Point descobriram várias campanhas utilizando a nova família do Qbot entre os meses de março e agosto de 2020, incluído campanhas de Qbot distribuídas pelo trojan Emotet. Esta campanha impactou 5% das organizações em nível global em julho de 2020.
“Os cibercriminosos estão sempre à procura de novas maneiras de atualizar as formas existentes e comprovadas de malware e estão claramente investindo pesado no desenvolvimento do Qbot, a fim de permitir o roubo de dados em grande escala de organizações e indivíduos.”
“Vimos campanhas ativas de malspam distribuídas diretamente pelo Qbot, bem como a utilização de infraestruturas de terceiros para infecção como a disseminação via Emotet. As empresas devem implementar soluções antimalware que impeçam a chegada desse tipo de conteúdo aos usuários finais e orientar os seus colaboradores a terem cuidado ao abrir os e-mails, mesmo quando parecerem ser de fontes confiáveis,” afirma Maya Horowitz, diretora de Inteligência & Pesquisa de Ameaças e Produtos da Check Point.
A equipe de pesquisas também alerta sobre a “Web Server Exposed Git Repository Information Disclosure”, a vulnerabilidade explorada mais comum afetando 47% das organizações em todo o mundo, seguida pela “MVPower DVR Remote Code Execution” que afetou 43% e a “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” que está em terceiro lugar, com um impacto global de 37% das organizações.
As principais famílias de malware de agosto
* As setas estão relacionadas à alteração na classificação em comparação com o mês anterior.
Em agosto, o Emotet mantém-se na liderança da lista de malware com um impacto global de 14% das organizações, seguido de perto pelos malwares Agent Tesla e o Formbook, afetando cada um 3% das organizações no mundo.
• ↔ Emotet – É um Trojan avançado, auto propagável e modular. O Emotet era anteriormente um Trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
• ↑ Agent Tesla – É um RAT (remote access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).
• ↑ Formbook – Formbook é um ladrão de informações que coleta credenciais de vários navegadores da web, capturas de tela, monitora e registra keystrokes (pressionar teclas), além de poder baixar e executar arquivos de acordo com as ordens do C&C (Command & Control).
Principais vulnerabilidades exploradas em agosto
Em agosto, a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais comum, impactando 47% das organizações em nível global, seguida pela “MVPower DVR Remote Code Execution”, responsável por impactar 43% das organizações, e, em terceiro lugar, a “Dasan GPON Router Authentication Bypass (CVE-2018-10561)” com um impacto global de 37%.
• ↑ Web Server Exposed Git Repository Information Disclosure – Uma vulnerabilidade de divulgação de informações que foi relatada no Git Repository. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
• ↓ MVPower DVR Remote Code Execution – Uma vulnerabilidade de execução remota de código que existe nos dispositivos MVPower DVR. Um atacante remoto pode explorar essa deficiência para executar código arbitrário no roteador afetado por meio de uma solicitação criada.
• ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Uma vulnerabilidade de desvio de autenticação que existe em roteadores Dasan GPON. A exploração bem-sucedida desta vulnerabilidade permite que atacantes remotos obtenham informações confidenciais e o acesso não autorizado ao sistema infectado.
Principais famílias de malware – Dispositivos móveis
Em agosto, o xHelper foi o malware que se destacou em primeiro lugar, seguido pelo Necro e Hiddad.
• xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.
• Necro – Necro é um aplicativo malicioso Android Trojan.Dropper que pode baixar outros malwares, mostrando anúncios intrusivos e roubando dinheiro cobrando pelas assinaturas.
• Hiddad – O Hiddad é um malware para Android que empacota novamente aplicativos legítimos e os libera para uma loja de terceiros. Sua principal função é exibir anúncios, mas também pode obter acesso aos principais detalhes de segurança incorporados ao sistema operacional.
Os principais malwares de agosto no Brasil
O principal malware no Brasil em agosto, bem como em nível global, permanece sendo o Emotet cujo impacto nas organizações no mundo foi de 13,57%, ao passo que no Brasil o índice foi de 16,60% das organizações impactadas.
Desde o início deste ano, o criptominerador XMRig vinha liderando a lista Top 10 do Brasil: impactou 18,26% das organizações em janeiro; 11,13% em fevereiro; 7% em março; 4,99% em abril; 3,88% em maio; e 4,42% em junho. O XMRig caiu uma posição em julho, impactando 4,15% das organizações, e permaneceu no 20º. Lugar com 4,90% de impacto em agosto.
Outro dado relevante no Brasil é o de que, nos últimos seis meses, 91% dos arquivos maliciosos no país foram distribuídos via e-mail, sendo que o arquivo .doc foi o tipo predominantemente adotado (82,9%).
O Índice de Impacto Global de Ameaças da Check Point e seu Mapa ThreatCloud são baseados na inteligência ThreatCloud da Check Point, a maior rede colaborativa para combater o cibercrime que fornece dados de ameaças e tendências de ataques de uma rede global de sensores de ameaças.
A base de dados do ThreatCloud inspeciona mais de 2,5 bilhões de sites e 500 milhões de arquivos por dia e identifica mais de 250 milhões de atividades de malware diariamente.
A lista completa das Top 10 principais famílias de malware de julho pode ser encontrada aqui.
Domínios inativos à venda redirecionam para páginas com malware
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.