[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Três carregadores de malware respondem por 80% dos ataques

QakBot, SocGholish e Raspberry Robin são os três carregadores de malware mais populares entre os cibercriminosos e já respondem por 80% dos ataques observados entre 1º de janeiro e 31 de julho deste ano, segundo a ReliaQuest. Levantamento feito pela empresa de segurança cibernética mostra que o QakBot, também conhecido como QBot, foi responsável por 30% dos incidentes, o SocGholish por 27% e o Raspberry Robin por 23%.

Segundo a ReliaQuest, nem todos os incidentes observados resultaram em comprometimento da rede, pois o carregador foi detectado e bloqueado antes que pudesse causar problemas.

Ativo desde 2009, o QakBot  — QBot ou Quakbot — era inicialmente um trojan bancário, mas depois evoluiu para um carregador de malware que pode implantar cargas adicionais, roubar informações confidenciais e permitir movimentação lateral. Normalmente entregue por meio de e-mails de phishing, o QakBot foi associado ao grupo de ransomware BlackBasta, formado por ex-membros da gangue de ransomware Conti.

“O QakBot é uma ameaça persistente e em evolução usada para atingir de forma oportunista qualquer setor ou região. Seus operadores são capazes e engenhosos na adaptação às mudanças e provavelmente estarão aqui no futuro próximo”, observa a ReliaQuest.

Ativo desde ao menos 2018, o SocGholish — também conhecido como FakeUpdates — é implantado por meio de downloads drive-by, usando uma ampla rede de sites comprometidos que oferecem atualizações falsas. O carregador está vinculado ao grupo de crimes cibernéticos Evil, com sede na Rússia, que está ativo desde ao menos 2007, e ao broker (corretor) de acesso inicial (IAB) conhecido como Exotic Lily.

Veja isso
Qbot lidera ranking nacional de malware há sete meses
Phishing EvilProxy atinge 120 mil usuários do Microsoft 365

Durante o primeiro semestre, os operadores do SocGholish foram observados realizando ataques agressivos de watering hole (caça à vítima no bebedouro), aproveitando sites comprometidos de grandes organizações.

Já o Raspberry Robin, um worm do Windows observado inicialmente em setembro de 2021, se espalha principalmente por meio de dispositivos removíveis, como unidades USB, e tem sido vinculado a vários operadores de ameaças, incluindo o Evil e o Silence. Ele foi observado implantando uma ampla gama de famílias de ransomware e malware, incluindo Clop, LockBit, TrueBot e outros, em ataques direcionados a instituições financeiras, organizações governamentais e empresas de telecomunicações e manufatura, principalmente na Europa.

Além desses três carregadores, o Gootloader, Chromeloader, Guloader e Ursnif também estiveram amplamente ativos durante os primeiros sete meses deste ano, diz a ReliaQuest.