 |
| Imagem ilustrativa – Divulgação Check Point Software |
Os pesquisadores da Check Point Research (CPR) descobriram o ressurgimento do malware Qbot, que foi detectado em tentativas de phishing dirigidas ao setor de hotelaria; já o Chaes, um ladrão de informações usado para roubar dados em e-commerce volta a crescer no Brasil
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, publicou o Índice Global de Ameaças referente ao mês de dezembro de 2023. Os pesquisadores da CPR informaram o retorno do Qbot, quatro meses depois de as autoridades policiais internacionais e dos Estados Unidos terem desmantelado a sua infraestrutura na Operação Duck Hunt em agosto de 2023. Enquanto isso, o downloader de JavaScript FakeUpdates saltou para o primeiro lugar no ranking global do final do ano.
Em dezembro do ano passado, o malware Qbot foi utilizado pelos cibercriminosos como parte de um ataque de phishing de escala limitada dirigido a organizações do setor de hotelaria. Na campanha, os pesquisadores da CPR descobriram que os hackers se fizeram passar pela Receita Federal dos Estados Unidos (o órgão IRS - Internal Revenue Service) e enviaram e-mails maliciosos contendo anexos PDF com URLs incorporadas ligadas a um instalador da Microsoft.
Uma vez ativado, este instalador desencadeava uma versão invisível do Qbot que se aproveitava de uma biblioteca Dynamic Link Library (DLL) incorporada. Anterior a agosto de 2023, o Qbot dominava o índice de ameaças, tanto globalmente como no Brasil, classificando-se como um dos três malwares mais prevalentes durante dez meses consecutivos. Embora não tenha voltado entre os Top 10 Malwares do índice, os próximos meses determinarão se o Qbot recuperará a notoriedade que tinha previamente.
Entretanto, o FakeUpdates continuou a sua ascensão ao topo depois de ter reaparecido no final de 2023, alcançando o primeiro lugar do ranking global com um impacto de 2%. O Nanocore também manteve uma posição entre os cinco primeiros durante seis meses consecutivos, ocupando o terceiro lugar em dezembro; e registraram-se novas entradas dos malwares Ramnit e Glupteba.
"Ver o Qbot de volta ao cenário menos de quatro meses depois de a sua infraestrutura de distribuição ter sido desmantelada é um lembrete de que, embora possamos interromper as campanhas de malware, os cibercriminosos por trás delas se adaptarão às novas tecnologias", alerta Maya Horowitz, vice-presidente de pesquisa da Check Point Software. "É por isso que as organizações são orientadas a adotar uma abordagem preventiva à segurança dos endpoints e a realizar a devida diligência sobre as origens e a intenção de um e-mail", completa Maya.
A equipe da CPR também revelou que "Apache Log4j Remote Code
Execution (CVE-2021-44228) e "Web Servers Malicious URL Directory Traversal"
foram as vulnerabilidades mais exploradas, afetando 46% das organizações em
todo o mundo. A "Injeção de comandos Zyxel ZyWALL (CVE-2023-28771)"
veio na sequência com um impacto global de 43%.
Principais
famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
O
FakeUpdates e o Formbook foram os malwares mais prevalentes em dezembro de
2023, com um impacto de 2% nas organizações mundiais, seguidos pelo Nanocore,
com um impacto global de 1%.
↑ FakeUpdates - Fakeupdates (também conhecido como SocGholish) é um downloader escrito
em JavaScript. Ele grava as cargas no disco antes de iniciá-las. FakeUpdates
levou a comprometimentos adicionais por meio de muitos malwares adicionais,
incluindo GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
↓ Formbook - É
um infoStealer direcionado ao sistema operacional Windows e foi detectado pela
primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em
fóruns de hackers ilegais por suas fortes técnicas de evasão e preço
relativamente baixo. O FormBook coleta credenciais de vários navegadores da
Web, captura telas, monitora e registra digitações de teclas e pode baixar e
executar arquivos de acordo com as ordens de seu C&C (Comando &
Controle).
↑ Nanocore - É um Trojan de Acesso Remoto (RAT) que tem como alvo os usuários do sistema operacional Windows e foi observado pela primeira vez em 2013. Todas as versões do RAT contêm plugins e funcionalidades básicas, como captura de tela, mineração de criptomoedas, controle remoto do ambiente de trabalho e roubo de sessões de webcam.
A
lista global completa das dez principais famílias de malware em dezembro de
2023 pode ser encontrada no blog da Check Point
Software.
Principais setores atacados no mundo e no Brasil
Em dezembro de 2023, a Educação/Pesquisa continuou a ser o setor mais atacado a nível mundial, seguido das Comunicações e do Governo/Forças Armadas.
1.Educação/Pesquisa
2.Comunicações
3.Governo/Forças Armadas
No Brasil, os três setores no ranking nacional mais visados por ciberataques durante o mês de dezembro foram:
1.
Utilities (média de 1.891 ataques semanais por organização nos últimos seis
meses – julho a dezembro 2023)
2.
Transportes (média de 1.744 ataques semanais por organização nos últimos seis
meses – julho a dezembro 2023)
3.
Governo/Forças Armadas (média de 1.951 ataques semanais por organização nos
últimos seis meses – julho a dezembro 2023)
Principais vulnerabilidades exploradas
Em
dezembro, "Apache Log4j Remote Code Execution (CVE-2021-44228)" e
"Web Servers Malicious URL Directory Traversal" foram as
vulnerabilidades mais exploradas, afetando 46% das organizações a nível
mundial, seguidas da "Zyxel ZyWALL Command Injection (CVE-2023-28771)"
com um impacto global de 43%.
1.
↑ Execução remota de código do Apache
Log4j (Apache Log4j Remote Code Execution - CVE-2021-44228) - Existe uma vulnerabilidade de execução remota de
código no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade pode
permitir que um atacante remoto execute código arbitrário no sistema afetado.
2. ↔ Web Servers Malicious
URL Directory Traversal
(CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)
- Existe uma vulnerabilidade
de passagem de diretório em diferentes servidores web. A vulnerabilidade se
deve a um erro de validação de entrada em um servidor web que não limpa
adequadamente o URI para os padrões de passagem de diretório. A exploração
bem-sucedida permite que atacantes remotos não autenticados divulguem ou
acessem arquivos arbitrários no servidor vulnerável.
3.
↔ Zyxel ZyWALL Command
Injection (CVE-2023-28771) - Existe uma
vulnerabilidade de injeção de comando no Zyxel ZyWALL. A exploração
bem-sucedida desta vulnerabilidade permitiria que atacantes remotos executassem
comandos arbitrários do sistema operacional no sistema afetado.
Principais malwares móveis
Crédito: Imagem de Anja por Pixabay
1.Anubis
é um cavalo de Troia bancário projetado para
smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções
adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger,
recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em
centenas de aplicativos diferentes disponíveis na Google Store.
2.AhMyth é um Trojan de acesso remoto (RAT) descoberto
em 2017. Ele é distribuído por meio de aplicativos Android que podem ser
encontrados em lojas de aplicativos e vários sites. Quando um usuário instala
um desses aplicativos infectados, o malware pode coletar informações
confidenciais do dispositivo e executar ações como keylogging, captura de tela,
envio de mensagens SMS e ativação da câmera, que geralmente é usada para roubar
informações confidenciais.
3.Hiddad
é um malware Android que reembala aplicativos
legítimos e os libera em uma loja de terceiros. Sua principal função é exibir
anúncios, mas também pode obter acesso aos principais detalhes de segurança
incorporados ao sistema operacional.
Os principais malwares de dezembro no Brasil
Em dezembro, o ranking de ameaças do Brasil contou com o Chaes na liderança do ranking com impacto de cerca de 3%; em segundo lugar, o Fakeupdates cujo impacto foi de 2,76% (pouco a mais que o global de 2,32%); enquanto o Nanocore permaneceu em terceiro lugar com impacto de cerca de 2%.
Blog
X / Twitter
Check Point Software Technologies Ltd.
X /Twitter
Blog
YouTube
