 |
| Imagem ilustrativa - Divulgação Check Point Software |
No Índice Global de Ameaças da Check Point Research de setembro, os pesquisadores relataram ainda sobre a nova campanha de phishing contra mais de 40 organizações na Colômbia e a liderança do Formbook após o colapso do Qbot em agosto
A Check Point Research (CPR), divisão de
Inteligência em Ameaças da Check Point® Software
Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de
cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de
setembro de 2023. Os pesquisadores relataram sobre uma nova campanha de
phishing direcionada a empresas colombianas, projetada para distribuir
discretamente o cavalo de Troia de acesso remoto (RAT) Remcos. Enquanto isso, o
Formbook assumiu o primeiro lugar como o malware mais prevalente na lista
global após o colapso do Qbot em agosto.
Em setembro, os pesquisadores da Check Point
Research descobriram uma campanha de phishing
significativa que tinha como alvo mais de 40 empresas proeminentes em
vários setores na Colômbia. O objetivo era instalar o Remcos RAT nos
computadores das vítimas. O Remcos, que foi o segundo malware mais prevalente
em setembro, é um sofisticado RAT do tipo “canivete suíço” que concede controle
total sobre o computador infectado e pode ser usado em uma variedade de
ataques. As consequências comuns de uma infecção por Remcos incluem roubo de
dados, infecções de acompanhamento e controle de contas.
"A campanha que descobrimos na Colômbia
oferece um vislumbre do intricado mundo das técnicas de evasão empregadas pelos
atacantes. É também uma boa ilustração de quão invasivas são essas técnicas e
porque precisamos empregar a resiliência cibernética para nos proteger contra
uma variedade de tipos de ataques”, destaca Maya Horowitz, vice-presidente de
pesquisa da Check Point Software.
Também no mês passado, o Qbot caiu totalmente da
lista de principais malwares do mês depois que o FBI assumiu o controle deste
malware em agosto. Isso marca o fim de um longo período como o malware mais
prevalente, tendo liderado o índice global durante a maior parte de 2023 e
permanecido na liderança da lista do Brasil desde o início de ano
consecutivamente. No entanto, há poucos dias, surgiram evidências que sugerem
que o grupo de malware Qakbot continuou a realizar ataques cibernéticos,
mesmo quando o FBI apreendeu a sua infraestrutura e desmantelou a botnet que
construiu ao longo de vários anos. É preciso manter a resiliência cibernética
como reforça Maya Horowitz.
Entretanto, o malware Chaes assumiu a liderança no
índice mensal do Brasil em setembro. O Qbot visava o roubo de credenciais
bancárias, já o Chaes é um ladrão de informações (infostealer) usado para
roubar dados confidenciais de consumidores ou clientes, como credenciais de
login e informações financeiras. O Chaes é conhecido por usar técnicas de
evasão para evitar detecções de antivírus, e foi visto no passado visando
clientes de plataformas de comércio eletrônico, principalmente na América
Latina.
A equipe da CPR também revelou que a “Web Servers
Malicious URL Directory Traversal” foi a vulnerabilidade global mais explorada
em setembro, impactando 47% das organizações em todo o mundo, seguida pela
“Command Injection Over HTTP” com 42% e pela “Zyxel ZyWALL Command Injection”,
com impacto global de 39% nas organizações.
Principais famílias de malware
* As setas referem-se à mudança na classificação em
comparação com o mês anterior.
Em setembro, o Formbook foi o malware mais
difundido no mês com um impacto de mais de 3% das organizações em todo o mundo,
seguido pelo Remcos com impacto global de 2% e o Emotet com 2%.
↑ Formbook – É um infoStealer direcionado ao sistema operacional Windows e foi
detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service
(MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço
relativamente baixo. O FormBook coleta credenciais de vários navegadores da
Web, captura telas, monitora e registra digitações de teclas e pode baixar e
executar arquivos de acordo com as ordens de seu C&C (Comando &
Controle).
↑ Remcos – É um cavalo de Troia de acesso remoto (RAT) que apareceu pela primeira
vez em 2016. Remcos se distribui por meio de documentos maliciosos do Microsoft
Office, anexados a e-mails de SPAM, e foi projetado para contornar a segurança
UAC do Microsoft Windows e executar malware com privilégios de alto nível.
↑ Emotet
– É um cavalo de Troia avançado, autopropagável e modular. O Emotet, antes
usado como um cavalo de Troia bancário, foi recentemente usado como um
distribuidor para outros malwares ou campanhas maliciosas. Ele usa vários
métodos para manter técnicas de persistência e evasão para evitar a detecção.
Além disso, pode se espalhar por e-mails de spam de phishing contendo anexos ou
links maliciosos.
A lista global completa das dez principais famílias
de malware em agosto de 2023 pode ser encontrada no blog da Check Point
Software.
Principais setores atacados no mundo e no Brasil
Quanto aos setores, em setembro, Educação/Pesquisa
permaneceu na liderança da lista como o setor mais atacado globalmente, seguido
por Comunicações e Governo/Militar.
1.Educação/Pesquisa
2.Comunicações
3.Governo/Militar
No Brasil, os três setores no ranking nacional
mais visados por ciberataques em setembro foram:
1.Finanças/Bancos
2.Comunicações
3.Saúde
Principais vulnerabilidades exploradas
Em setembro, a equipe da CPR também revelou que a
“Web Servers Malicious URL Directory Traversal” foi a vulnerabilidade mais
explorada, impactando 47% das organizações no mundo, seguida pela “Command
Injection Over HTTP”, ocupando o segundo lugar com impacto global de 42% das
organizações. A “Zyxel ZyWALL Command Injection” ocupou o terceiro lugar das
vulnerabilidades com um impacto global de 39%.
↑
Web Servers Malicious URL Directory Traversal
(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)
- Existe uma vulnerabilidade
de passagem de diretório em diferentes servidores web. A vulnerabilidade se
deve a um erro de validação de entrada em um servidor web que não limpa
adequadamente o URI para os padrões de passagem de diretório. A exploração
bem-sucedida permite que atacantes remotos não autenticados divulguem ou
acessem arquivos arbitrários no servidor vulnerável.
↔ Command Injection Over HTTP (CVE-2021-43936,
CVE-2022-24086) - Uma
vulnerabilidade de injeção de comando sobre HTTP foi relatada. Um atacante
remoto pode explorar esse problema enviando uma solicitação especialmente
criada para a vítima. A exploração bem-sucedida permitiria que um atacante
executasse código arbitrário na máquina alvo.
↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) - Existe uma vulnerabilidade de injeção de comando
no Zyxel ZyWALL. A exploração bem-sucedida desta vulnerabilidade permitiria que
atacantes remotos executassem comandos arbitrários do sistema operacional no
sistema afetado.
Principais malwares móveis
Em setembro, o Anubis permaneceu em primeiro lugar
como o malware móvel mais difundido, seguido por AhMyth e SpinOk.
1.Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde
que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a
funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de
áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos
diferentes disponíveis na Google Store.
2.AhMyth é um Trojan de acesso remoto (RAT) descoberto em 2017. Ele é
distribuído por meio de aplicativos Android que podem ser encontrados em lojas
de aplicativos e vários sites. Quando um usuário instala um desses aplicativos
infectados, o malware pode coletar informações confidenciais do dispositivo e
executar ações como keylogging, captura de tela, envio de mensagens SMS e
ativação da câmera, que geralmente é usada para roubar informações
confidenciais.
3.SpinOk é um módulo de software Android que opera como spyware. Ele coleta
informações sobre arquivos armazenados em dispositivos e é capaz de
transferi-los para agentes de ameaças maliciosas. O módulo malicioso foi
encontrado em mais de 100 aplicativos Android e baixado mais de 421 milhões de
vezes até maio de 2023.
Os principais malwares
de setembro no Brasil
Em setembro, o ranking
de ameaças do Brasil alternou o primeiro lugar após a liderança consecutiva desde
janeiro do Qbot. O principal malware no país no mês passado foi o Chaes, com
impacto de 3,26%; em segundo lugar, o Nanocore apontou impacto de 2,43%;
enquanto o NJRat permaneceu em terceiro lugar com impacto de 2,19%. O Formbook
aparece em sétimo lugar (impacto de 1,42%) na lista nacional de setembro.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
Check Point Research
Blog
Check Point Software
X /Twitter
Blog
YouTube
Nenhum comentário:
Postar um comentário